2009年頃から登場し、JR東海やローソン、ホンダなど、有名な企業のホームページが改ざんされた。

過去問(H22年SC秋午後Ⅰ問4)では、Gumblar攻撃の内容がG攻撃として述べられている。
(1)利用者PCのブラウザから、改ざんされたWebサイトにアクセスすると、トロイの木馬型の不正プログラムを送り込むWebサイト(以下、不正プログラム送り込みサイトという)に強制的にリダイレクトされる。
(2)利用者が気づかないうちに、不正プログラム送り込みサイトから、利用者PCのブラウザ経由で不正プログラムがダウンロードされ、実行される。すると、利用者PC上のアプリケーションの脆弱性を突いて不正プログラムに利用者PCが感染する。悪用される脆弱性は複数報告されている。
(3)不正プログラムに感染した利用者PCから、この利用者が管理するWebサイトにFTPでアクセスする設定となっていると、不正プログラムが、FTPサーバのIPアドレスや、FTPクライアントのパスワード保存機能からFTPアカウントのIDとパスワードを盗み出して、攻撃者のサーバに送付する。
(4)攻撃者は、送付されてきたFTPサーバのIPアドレスやFTPアカウントのIDとパスワードを使って、利用者が管理するWebサイトに侵入してページを改ざんしたり、不正プログラム送り込みサイトに作り変えたりする。これによって、上記(1)の改ざんされたWebサイトや不正プログラム送り込みサイトが増える。
図2 G攻撃のシナリオ(攻撃フェーズ)
素材3_1_Gumblar




 
sef5 
でもこれ、おかしくないですか?
FTPのID/Passを入手したとしても、どうやって社外から内部のWebサーバにアクセスするのですか?
普通は、社内からしかアクセスさせないはずです。
 
その考えは正しい。
本来はそうあるべきだ。しかし、社外からFTPアクセスを許可させているところは意外に多い。たとえば、SIerに委託していて、社外からID/Passだけでログインさせているとか、ハウジングやホスティングの場合も社外からできる。最近はクラウドサービスが増えているから、社外からできることがほとんどである。