現在、国内の正規Webサイトが不正プログラムによって改ざんされる事象が相次いでいます。

改ざんされたWebサイトを閲覧すると、FTPアカウント情報（サーバアドレス、アカウント、パスワードなど）を盗む不正プログラムに感染します。さらに攻撃者は感染PCから盗んだFTPアカウント情報を使用して、別のWebサイトを改ざんするなど、複数のWebサイトが連鎖的に被害にあう可能性があります。

トレンドラボでは、これらの一連の改ざんの流れにおいて、アプリケーションの脆弱性を利用して感染する不正プログラムなど、複数の不正プログラムがインストールされることを確認しています。
これらは通称「ガンブラー」と呼ばれている脅威です。

■「ガンブラー」によるWebサイト改ざんから感染までの流れ

Webサイトが改ざんされてから、閲覧ユーザが感染に至るまでは、以下のような流れであると考えられます。

1.改ざんされたWebサイトへのアクセス／不正なWebサイトへのリダイレクト
2.FTPアカウント情報の収集
3.収集したFTPアカウント情報を元に攻撃者がWebサイトを改ざん

図1 ガンブラー感染の流れ

1. 改ざんされたWebサイトへのアクセス／不正なWebサイトへのリダイレクト

ユーザが改ざんされたWebサイトを閲覧すると、表面上では正規サイトが表示されますが、裏では埋め込まれたJavaScriptにより、不正なWebサイトへのリダイレクトが行われており、リダイレクト先からは不正プログラムがダウンロード・実行されます。ダウンロード・実行される不正プログラムはAdobe ReaderおよびAdobe Flash Playerの脆弱性などを利用して、ユーザのPCへさらに不正プログラムを作成します。
トレンドマイクロでは、この不正プログラムを「TROJ_DELF」ファミリなどとして検出します。

2. FTPアカウント情報の収集

改ざんされたWebサイトを閲覧し、不正プログラムに感染したPCでは、不正プログラムがネットワーク接続を監視し、FTPサーバへ接続する際のサーバアドレス、アカウント、パスワードなどを盗み出し外部のサーバへ送信します。
トレンドマイクロでは、この不正プログラムを「TSPY_KATES」ファミリなどとして検出します。

3. 収集したFTPアカウント情報を元に攻撃者がWebサイトを改ざん

攻撃者は受信したFTPアカウント情報を利用し、FTPサーバに保存されているWebサイトのファイルを不正に書き換えることで改ざんを行い、ガンブラーを拡散させます。改ざんされた正規Webサイトには、不正なWebサイトへリダイレクトするJavaScriptが埋め込まれます。埋め込まれたJavaScript内には、特徴として以下のような文字列が挿入されることを確認しています。

※一部の文字列を全角文字で記載しています。

以下の画像は、実際に改ざんされたWebサイトのソースコードの一例です。