Tip:
Highlight text to annotate it
X
Maile Ohye です
ハッキングされたサイトの復旧に関する 動画シリーズ、今回は「被害の評価」です
ハッキングされたサイトの復旧に関する 動画シリーズ、今回は「被害の評価」です
この動画は、サイトがマルウェアに感染している ウェブマスターを対象としています
この動画は、サイトがマルウェアに感染している ウェブマスターを対象としています
ソースコードの表示や、ターミナルから コマンドを実行できる程度の知識が必要です
ソースコードの表示や、ターミナルから コマンドを実行できる程度の知識が必要です
今日は、マルウェア対策に詳しい
セーフ ブラウジング チームの Lucas Ballard に来てもらいました
セーフ ブラウジング チームの Lucas Ballard に来てもらいました
Lucas Ballard: こんにちは
Maile: よろしくお願いします
ここまで、ハッキングについて学び、サイトが マルウェアに感染していることを確認しました
ここまで、ハッキングについて学び、サイトが マルウェアに感染していることを確認しました
次は被害状況の確認ですが、その前に マルウェアについて説明してもらえますか
次は被害状況の確認ですが、その前に マルウェアについて説明してもらえますか
次は被害状況の確認ですが、その前に マルウェアについて説明してもらえますか
Lucas: わかりました
マルウェアとは悪意のあるソフトウェアの総称で コンピュータやネットワークに危害を加えます
マルウェアとは悪意のあるソフトウェアの総称で コンピュータやネットワークに危害を加えます
マルウェアには、ウイルス、ワーム、スパイウェア キーロガー、トロイの木馬などが含まれます
マルウェアには、ウイルス、ワーム、スパイウェア キーロガー、トロイの木馬などが含まれます
Google では、マルウェアから人々を守るため インターネット全体をスキャンしています
Google では、マルウェアから人々を守るため インターネット全体をスキャンしています
自動スキャナを使って、各ページが マルウェアに感染しているかどうかを識別します
自動スキャナを使って、各ページが マルウェアに感染しているかどうかを識別します
自動スキャナを使って、各ページが マルウェアに感染しているかどうかを識別します
このプロセスではウェブマスターの 評判は関係ありません
あなたのサイトも感染しているかもしれませんが 感染しているのはあなたのサイトだけではありません
Google では 1 日に 1 万件以上検出しています
Maile: そうなんですね
「サイトがマルウェアに感染する」 というのは具体的にどういうことなのですか
「サイトがマルウェアに感染する」 というのは具体的にどういうことなのですか
Lucas: はい
正当なサイトが「マルウェアに感染」 とラベル付けされた場合は
正当なサイトが「マルウェアに感染」 とラベル付けされた場合は
そのサイトにアクセスしたブラウザが自動的に 別サイトに転送され攻撃を受けたことを示します
そのサイトにアクセスしたブラウザが自動的に 別サイトに転送され攻撃を受けたことを示します
そのサイトにアクセスしたブラウザが自動的に 別サイトに転送され攻撃を受けたことを示します
一般的な原因としては 正当なサイトが改ざんされ
一般的な原因としては 正当なサイトが改ざんされ
不正サイトからのコンテンツが 追加されたことが考えられます
不正サイトからのコンテンツが 追加されたことが考えられます
マルウェアページにはアクセス しないようにしてください
不正サイトからのコンテンツによって ブラウザの脆弱性が狙われます
不正サイトからのコンテンツによって ブラウザの脆弱性が狙われます
攻撃が成功すると、パソコンに 悪意のあるソフトウェアが読み込まれます
攻撃が成功すると、パソコンに 悪意のあるソフトウェアが読み込まれます
攻撃が成功すると、パソコンに 悪意のあるソフトウェアが読み込まれます
口座情報を収集するスパイウェアや スパムを送信するマルウェアかもしれません
口座情報を収集するスパイウェアや スパムを送信するマルウェアかもしれません
口座情報を収集するスパイウェアや スパムを送信するマルウェアかもしれません
ハッカーは、感染したパソコンを 新しいマルウェアノードとして追加し
ハッカーは、感染したパソコンを 新しいマルウェアノードとして追加し
他のパソコンなどへの 攻撃に利用します
他のパソコンなどへの 攻撃に利用します
Maile: なるほど、マルウェアが 伝染病のように拡がる仕組みがよくわかりました
Maile: なるほど、マルウェアが 伝染病のように拡がる仕組みがよくわかりました
サイトがマルウェアに感染してないか 他への攻撃に関与してないか
サイトがマルウェアに感染してないか 他への攻撃に関与してないか
調べる方法はありますか
Lucas: はい
Google セーフブラウジングでは そうした情報をすべての人に公開しています
Google セーフブラウジングでは そうした情報をすべての人に公開しています
Google セーフブラウジングでは そうした情報をすべての人に公開しています
パソコンから Google セーフブラウジングの 診断ページにアクセスしてみましょう
パソコンから Google セーフブラウジングの 診断ページにアクセスしてみましょう
www.google.com/safebrowsing/diagnostic?site= その後にサイトの URL です
www.google.com/safebrowsing/diagnostic?site= その後にサイトの URL です
たとえば googleonlinesecurity.blogspot.com を追加してみましょう
このように、ユーザーがサイトを安全に ブラウジングできるかどうかがわかります
このように、ユーザーがサイトを安全に ブラウジングできるかどうかがわかります
これらのデータはスキャナで収集しています Google のセキュリティブログは安全なようです
これらのデータはスキャナで収集しています Google のセキュリティブログは安全なようです
これらのデータはスキャナで収集しています Google のセキュリティブログは安全なようです
マルウェアに感染したサイトを例に 各項目を詳しく見てみましょう
マルウェアに感染したサイトを例に 各項目を詳しく見てみましょう
セーフブラウジングの診断ページでは
現在の状況、つまりこのサイトが 安全なのか疑わしいのかがわかります
現在の状況、つまりこのサイトが 安全なのか疑わしいのかがわかります
現在の状況、つまりこのサイトが 安全なのか疑わしいのかがわかります
マルウェアに感染したサイトは 疑わしいと記載されます
その下のクロール時の状況には より詳しい情報が記載されています
その下のクロール時の状況には より詳しい情報が記載されています
たとえば、不正サイトや それらのサイトの情報も確認できます
たとえば、不正サイトや それらのサイトの情報も確認できます
たとえば、不正サイトや それらのサイトの情報も確認できます
不正サイトは、マルウェアのホストだけでなく サイトが感染済みかどうかのチェックも行います
不正サイトは、マルウェアのホストだけでなく サイトが感染済みかどうかのチェックも行います
不正サイトは、マルウェアのホストだけでなく サイトが感染済みかどうかのチェックも行います
不正サイトやネットワークをクリックすると 詳しい情報が表示されます
不正サイトやネットワークをクリックすると 詳しい情報が表示されます
その下の情報は、このサイトが感染の媒介や マルウェアのホストに使用されたかどうかです
その下の情報は、このサイトが感染の媒介や マルウェアのホストに使用されたかどうかです
その下の情報は、このサイトが感染の媒介や マルウェアのホストに使用されたかどうかです
Maile: ありがとう、Lucas マルウェアについては理解できました
Maile: ありがとう、Lucas マルウェアについては理解できました
次に、サイトの被害状況を 安全に調査する方法を教えてくれますか
次に、サイトの被害状況を 安全に調査する方法を教えてくれますか
Lucas: はい、それが重要ですよね
Lucas: はい、それが重要ですよね
ページの表示やファイルの削除 サイトの修正をする前に
マルウェアを調査する際の ヒントを紹介しましょう
1. ブラウザを使って 感染したページを開かないでください
1. ブラウザを使って 感染したページを開かないでください
マルウェアの多くはブラウザの 脆弱性を利用して拡散します
マルウェアの多くはブラウザの 脆弱性を利用して拡散します
感染したウェブページを ブラウザで開くのはトラブルの元です
感染したウェブページを ブラウザで開くのはトラブルの元です
2. 悪意のあるコードを調べる際 サーバーへのアクセス権限があると便利です
2. 悪意のあるコードを調べる際 サーバーへのアクセス権限があると便利です
何故ならマルウェアに表示条件が設定されている場合 ユーザーエージェント、Cookie、リファラー
何故ならマルウェアに表示条件が設定されている場合 ユーザーエージェント、Cookie、リファラー
時間帯、OS、ブラウザバージョン などが一致したときしか確認できません
時間帯、OS、ブラウザバージョン などが一致したときしか確認できません
ページのソースコードを確認できると コンテンツがどのように動作するのか理解しやすくなります
ページのソースコードを確認できると コンテンツがどのように動作するのか理解しやすくなります
3. 便利なツールが用意されており
HTTP リクエストの診断やページフェッチによる サイトの被害状況の確認に使用できます
HTTP リクエストの診断やページフェッチによる サイトの被害状況の確認に使用できます
というのも、正当なサイトから不正サイトへの リダイレクトが設定されていることが多く
というのも、正当なサイトから不正サイトへの リダイレクトが設定されていることが多く
検出するには、ソースコードを見るだけでなく ページをフェッチする必要があるためです
検出するには、ソースコードを見るだけでなく ページをフェッチする必要があるためです
便利な無料ツールが 2 つあります Wget と cURL です
便利な無料ツールが 2 つあります Wget と cURL です
どちらも HTTP リクエストを生成するツールで
リクエストに含めるリファラー ユーザーエージェント、ブラウザ情報を指定できます
リクエストに含めるリファラー ユーザーエージェント、ブラウザ情報を指定できます
これらのツールを使うと
ハッカーがどんな手法で 検出を回避しているかを明らかにできます
ハッカーがどんな手法で 検出を回避しているかを明らかにできます
たとえば、URL が検索結果ページから リクエストされたときだけ
たとえば、URL が検索結果ページから リクエストされたときだけ
つまりユーザーが Google で検索し、リクエストに Google のリファラーが含まれる場合のみ
つまりユーザーが Google で検索し、リクエストに Google のリファラーが含まれる場合のみ
悪意のあるコンテンツに リダイレクトされているとします
この方法なら、リファラーのあるユーザーだけに 悪意のあるコンテンツを配信できるだけでなく
この方法なら、リファラーのあるユーザーだけに 悪意のあるコンテンツを配信できるだけでなく
この方法なら、リファラーのあるユーザーだけに 悪意のあるコンテンツを配信できるだけでなく
ウェブマスターやマルウェアスキャナによる 検出も回避できるわけです
ウェブマスターやマルウェアスキャナによる 検出も回避できるわけです
Wget や cURL を検索することで それらがどのように使われたかがわかります
Wget や cURL を検索することで それらがどのように使われたかがわかります
Maile: ではいったんまとめましょう
サイトのマルウェアを調査するときは
1. ページをブラウザで開かない
2. サーバーにあるページのソースコードを見る
3. Wget や cURL でリダイレクトを見つけ ソースコードをチェックする
3. Wget や cURL でリダイレクトを見つけ ソースコードをチェックする
Lucas: さきほどはセーフブラウジングの 診断ページでマルウェアの影響を確認しました
Lucas: さきほどはセーフブラウジングの 診断ページでマルウェアの影響を確認しました
Lucas: さきほどはセーフブラウジングの 診断ページでマルウェアの影響を確認しました
次はウェブマスター ツールの マルウェアセクションを見てみます
次はウェブマスター ツールの マルウェアセクションを見てみます
Maile: 確認済みのウェブマスターなら
ウェブマスター ツールにログインして 自分のサイトを選択し
その後、[診断]、[マルウェア]です
Lucas、このページの情報について 解説してくれますか
Lucas、このページの情報について 解説してくれますか
Lucas: はい
このページには、[このテーブルをダウンロード]と [再審査をリクエスト]の 2 つのボタンがあります
このページには、[このテーブルをダウンロード]と [再審査をリクエスト]の 2 つのボタンがあります
[再審査をリクエスト]は マルウェアの駆除後に使います
[再審査をリクエスト]は マルウェアの駆除後に使います
その前に被害状況を確認しましょう
その前に被害状況を確認しましょう
この表は、サイト内の 感染した URL の一覧です
この表は、サイト内の 感染した URL の一覧です
スキャナによって識別された感染タイプと 最後に検出された日が表示されています
スキャナによって識別された感染タイプと 最後に検出された日が表示されています
URL をクリックすると、各種操作が行える マルウェアの詳細ページが表示されます
URL をクリックすると、各種操作が行える マルウェアの詳細ページが表示されます
感染タイプがない URL は
悪意があると認識されたものの 具体的な動作は特定できなかったということです
悪意があると認識されたものの 具体的な動作は特定できなかったということです
その他については、感染タイプごとの 動画で詳しく説明しています
その他については、感染タイプごとの 動画で詳しく説明しています
URL を個別に調査したら
最後にサイト全体の被害状況を確認します
最後にサイト全体の被害状況を確認します
Maile: はい
最後の動画では、ファイルシステムの 被害状況の確認について説明します
最後の動画では、ファイルシステムの 被害状況の確認について説明します
ハッカーによって改ざんまたは追加された ファイルをリストにまとめ
ハッカーによって改ざんまたは追加された ファイルをリストにまとめ
その後の駆除作業に役立てます
Lucas、ありがとう
各マルウェアタイプについては タイプごとの動画をご覧ください
各マルウェアタイプについては タイプごとの動画をご覧ください
サーバー設定、SQL インジェクション エラーテンプレートなどがあります
タイプごとの被害状況の確認が完了したら
ファイルシステム全体の被害状況を確認します
ファイルシステム全体の被害状況を確認します
これらの作業が完了したら いよいよ脆弱性の特定です
これらの作業が完了したら いよいよ脆弱性の特定です
復旧に近づいていますよ
引き続き頑張りましょう