Gumblar被害から見えるWebサイト更新用PCの管理レベル

Gumblar(別名GENOウイルス)の被害がなかなか収まらないようです。

Gumblar対策を再チェック　基本的な作業で感染防止を - ITmedia News via kwout

アメーバブログ  livedoor ブログ  はてなダイアリー  ココログ  Seesaa ブログ  So-net ブログ  エキサイトブログ  sa.yona.la  Twitter  Facebook  MySpace  Gmail  Tumblr  Blogger  Vox  Evernote  FriendFeed  Flickr 

私の知るところでは、Gumblarは上の記事にあるようにPCの脆弱性を利用して感染し、そのPCがFTPを使った際にWebサイト上のHTMLファイルにGumblarウイルスを拡散させるための改ざんを行うというものです。

今回の一連の改ざん報告を聞いていると、Webサイト更新用のPCがあまり高くないレベルで運用されているのではないかと思いました。もちろん世の中に膨大な数のWebサイトがあることを思えば、被害にあったサイトは割合でいうと少ないと言えます。しかしながらインターネットに情報を配信することの重みを思えば、管理レベルの低い端末が存在することは大きな問題であるように思います。

少しだけ背景を想像してみました。

ウイルス感染リスクの高い人、すなわちPCの操作に慣れていないような人やウイルス対策ソフトの必要性を深く考えていないような人にとってはFTPによるWebサイト更新というのはあまり身近なものではないように思います。FTPによるWebサイト更新を頻繁に、恒常的に行うような人はPCをそれなりの管理レベルに置いていると思われます。その間に位置する人や企業はGumblarの感染リスクが高いのではないでしょうか。人ならば初心者を卒業したあたりで怖さを知らない人、企業ならばWebサイト更新のリスクをよくわからないままにパッチが適用されていないPCでマニュアル通りに画面を操作していく、というような光景が思い浮かびます。

Webサイトの更新端末だからといってインターネットに直接接続している必要はありません。しかしアップロード完了時にWebサイトの更新結果を確認できると便利ですのでインターネットにつないでいるという状況が考えられます。サイトの一部にFlashなどを含んでいる場合、更新結果を目視でチェックするならばそれらのアドオンをインストールしている必要があります。そのような位置づけの端末を使っているとしたら、ウイルス対策ソフトを入れていなかったり、各種ソフトのアップデートを怠っていたりすると危険かもしれません。

個人のサイトのような場合、PC1台ですべてをまかなうことが普通です。しかしながらFTPでの更新を伴なう旧来のホームページ運営よりもブログが主流になってきていますし、FTP接続を許可せずWebアプリケーションに対してHTTPでのアップロードをするようなレンタルスペースのほうが趣味のサイト作りをする方にとっては親しみやすいのではないかと思います。かといってバリバリFTPを使うという型であれば、PCのウイルス対策に注意を払っていないことも珍しいのではないかと思います。

企業ではsFTPを使うなどのGumblar対応を行っている会社もあろうかと思います。そういった対策を軽視し、適当な端末で適当にFTP更新を行う会社を使っていると危ないかもしれません。また、Gumblarが蔓延し始めたときに発注側で自社のWebサイト更新業務のチェックに気が回らなかったり、レンタルサーバでFTPしか認めないようなホスティングサービス元（他社にせよ自社の運用部隊にせよ、サーバサイドでのウイルス検知や改ざん検知も甘いだろうと思われる）とが組み合わさることでGumblar被害は拡大していったように思います。

感染の仕組みを聞いてみれば、もっとも根本的にはWebサイト更新用PCの管理レベルが低いということになるのでしょう。しかし他に何箇所か食い止められるポイントがあるのにそこで止まらずにいくつかのサイトが改ざんされてしまったところに「Webサイト制作」という仕事の影の部分が見えるようです。

これまで感染PCがばらまいたものはGumblarウイルス配布用のHTMLファイルでした。これがもし個人情報だったり政治的に問題のあるコンテンツだったりした場合、非常に大きなインパクトをもたらすと思われます。これだけ話題になってまだ「うちは大丈夫だろう」と何も確認していない企業があるとしたら、そこは更に目立った被害を受けるのではないか？と心配になりました。