Tweet

Webサイトのファイル更新を監視

リンク、Gumblar型攻撃による改ざんチェックサービス開始

2010/05/19

　専用ホスティングサービス「at+link」を運営するリンクは5月19日、Gumblar型マルウェアによる攻撃を検知するサービス「改竄チェッカー」の提供を開始した。

　Gumblar型マルウェアは、その攻撃過程においてWebサイトを改ざんし、参照したユーザーを不正なサイトへ転送するコードを埋め込む。この攻撃コードは対象Webサーバのコンテンツをひそかに改ざんするため、Gumblar被害を受けた企業は長期間にわたって気付かない事例も見受けられる。

　同社の改竄チェッカーは、Webサーバに対する追加・更新・削除処理が行われたタイミングで通知メールを管理者に送信する。身に覚えのないタイミングで通知メールが送信された場合、Webサイトが改ざんされた可能性が高いと判断できる。すべてのファイル操作で通知メールが送信されるのは「未知の改ざん攻撃に対応できる仕組みをシンプルに実現するため」（同社）としている。ファイルの更新履歴は管理サーバで確認でき、正規のファイル操作を行ったとき、更新履歴をファイル単位で「確認済み」と記録するようなフローとなる。

　改竄チェッカーはat+linkとインフォリスクマネージが共同で展開する改ざん被害調査サービス「GumblarWatch」の一部としてすでに提供している機能を切り出したもの。初期費用1万500円、月額7350円で提供する。

「改竄チェッカー」の運用例