Internet Watch logo
記事検索
最新ニュース
レゴ、小学生向けプログラミング教材「WeDo 2.0」発売
[2016/01/29]
マクロウイルスを知らない世代の社員が狙われる? 「Office文書を開いて感染」攻撃が再び増加
[2016/01/29]
新gTLD「.shop」、49億円でGMOが落札、AmazonやGoogleなどに競り勝つ
[2016/01/29]
Windows SQL Server 2005サポート終了の4月12日が迫る、報告済み脆弱性の深刻度も高く、早急な移行を
[2016/01/29]
インストール不要の非常駐型セキュリティソフト「Dr.Web CureIt!」、日本語版を無料で提供
[2016/01/29]
筆まめ、中小事業者向け顧客管理ソフト「筆まめ顧客管理 Windows版」発売
[2016/01/29]
大日本印刷が「サイバーナレッジアカデミー」設立、IAIの訓練システムでセキュリティ技術者を養成
[2016/01/29]
「インターネット白書2016」発売、20周年記念の特別版
[2016/01/29]
NEC、中小規模事業者向けセキュリティアプライアンス「Aterm SA3500G」を発売
[2016/01/29]
Synology、2ベイNASのハイエンドモデル「DS216+」、暗号化データも上下100MB/秒以上で高速転送
[2016/01/29]
公安9課が情報流出の危険性を解き明かす、「攻殻機動隊 S.A.C.」の描き下ろしPDFコミック「HUMAN-ERROR TRAPS」無償公開
[2016/01/29]
Google Playに「マンガストア」オープン、ジャンプコミックスも配信開始
[2016/01/28]
BIGLOBE、電力とインターネットのセットプラン、中部電力の首都圏エリア展開に合わせ
[2016/01/28]
ウェブブラウザーのプライベートブラウジング機能、認知していた人は23.1%
[2016/01/28]
LINE、違う電話番号のスマホから一方的にアカウント移管操作を行えないよう仕様変更
[2016/01/28]
LINEのiPhone版アプリがiPadにも対応、「LINE for iPad」より多機能、大画面で音声・ビデオ通話が可能に
[2016/01/28]
Microsoft、Officeと他社クラウドストレージとの連携を強化
[2016/01/28]
Googleのディープラーニングシステムによって、人工知能が初めて囲碁のプロ棋士に勝利
[2016/01/28]
ソラコム、IoTプラットフォーム「SORACOM」と既存システムを専用線でつなぐサービスや認証機能など提供開始
[2016/01/28]
Google「Chrome 48」iOS版ではクラッシュ率70%低下、JavaScript実行速度も大幅改善
[2016/01/28]

「Gumblarウイルス」にも多層防御は有効、シマンテックが解説


 シマンテックは26日、「Gumblarウイルス」に関する説明会を開催した。Gumblarウイルスは、被害に遭ったサイトの名称から日本のユーザーの間では「GENOウイルス」とも呼ばれており、ウイルスによるWebサイト改ざんの被害が報告されている。シマンテックでは、このウイルスについてユーザーの間で統一的でない情報が広まっているとして、これまでの調査で判明した情報についての説明を行った。


ユーザーの対策は「OSやソフトを最新版にアップデート」

 シマンテックセキュリティレスポンス主任研究員の林薫氏は、Gumblarウイルスは2009年3月後半から感染が広がり始めたと説明。ウイルスの仕組みとしては、まず攻撃者がWebサイトを改ざんしてJavaScriptを仕掛ける。このJavaScriptが、ページを閲覧したユーザーに不正なPDFファイルやFlashファイルを送り込む。ページを閲覧したユーザーのPCで、脆弱性が修正されていない古いバージョンのAdobe Reader/AcrobatやFlash Playerを利用していると、脆弱性が悪用され、ウイルスに感染してしまう。

 また、ウイルスに感染したPCからは、FTPのユーザー名やパスワードなどの情報が盗み出される。FTPはWebサイトの更新などに使われることが多く、攻撃者はこの情報を利用することでWebサイトの改ざんを行い、さらに感染サイトを増やすという流れになっている。

 「Gumblar」というウイルスの名称は、不正なファイルのダウンロード先となっていたサイトのドメイン名「gumblar.cn」に由来する。ウイルスの名称はセキュリティベンダーによって異なり、シマンテックでは「Backdoor.Trojan」などの一般的な名称で呼んでいたが、5月18日のパターンファイルからは「Infostealer.Daonol」という個別の名称を設定している。

 Infostealer.Daonolの特徴としては、FTPサイトのユーザー名・パスワードを盗み出すほか、検索サイトの結果画面書き換えによる悪意のサイトへの誘導、偽セキュリティソフトやボットなど他の不正プログラムのダウンロード・インストール、検出・駆除防止のための工作などを行う。


Gumblarウイルスの感染の仕組み 感染後、FTPのIDとパスワードが攻撃者に悪用される

 ウイルスはその後の亜種では、不正ファイルのダウンロード先が「gumblar.cn」から「martuz.cn」に変更された。現在ではいずれのサイトもアクセスできなくなっている。シマンテック製品の侵入防止機能のログからは、5月11日から「gumblar.cn」「martuz.cn」へのアクセスが急増したが、サイトがアクセス不能になったことなどから、5月13日をピークにしてアクセスは急速に減少している。

 林氏は、5月13日を中心とした期間に改ざんされたサイトが増えたと思われるが、現時点ではウイルス感染については収束したと見られると説明。ユーザー側の対策としては、WindowsやAdobe Reader/Acrobat、Flash Playerなど、OSと各種ソフトのアップデートを実施し、セキュリティ対策ソフトの定義ファイルも最新版にすることを推奨している。ウイルスが悪用した脆弱性については、すべて最新版で脆弱性は修正されており、ウイルス対策ソフトでの検出も最新版のパターンファイルでは対応しているとした。

 また、FTPを利用しているユーザーでGumblarウイルスに感染してしまった場合には、PCの復旧だけでなく、必ずFTPパスワードを変更するよう呼びかけている。Gumblarウイルスに感染した場合、FTPのIDとパスワードは攻撃者に盗まれており、また新たな攻撃に悪用される可能性が高いためだ。さらに、Webサイトを復旧する際も、バックアップから復旧するなど、ページにスクリプトが仕掛けられていないかを確認することが必要だとした。


不正サイトへのアクセスは5月13日をピークに収束 対策は「OSやソフトのアップデート」。感染した場合には「FTPパスワードの変更」「サーバーコンテンツの復旧」も

パターン検出は後手に回るも、侵入防止機能がブロック

シマンテック製品では「侵入防止機能」で対応できたと説明
 林氏は、今回のGumblarウイルスについては、シマンテックの製品では3月末からウイルス対策ソフトによる検出に順次対応しており、セキュリティ製品の「侵入防止機能」でも攻撃が防げたと説明。侵入防止機能は、脆弱性への攻撃パターンを特徴化することで攻撃をネットワークレベルで遮断するもので、個人用製品でも「ノートンインターネットセキュリティ」や「ノートン360」に搭載されている。

 ただし、ユーザーに送り込まれるウイルス(トロイの木馬)の検出については、ウイルスのアップデートが繰り返されていたため、パターンファイルでの対応が遅れることがあったという。また、Webサイトに仕掛けられるJavaScriptファイルについても、スクリプトの難読化や、サイトごとに異なるスクリプトが埋め込まれるといった仕掛けにより、対応が後手に回っていたとした。

 林氏は、現時点ではウイルス対策ソフトのパターンファイルですべて対応できていると説明。また、侵入防止機能ではGumblarウイルスの攻撃は常に防ぐことができていたとして、ネットワーク経由の攻撃が増えている状況では、攻撃を防ぐためには侵入防止機能など、複数の防御機能を備えた製品の利用がより望ましいと語った。

関連情報

URL
  「Infostealer.Daonol」の概要
  http://www.symantec.com/ja/jp/business/security_response/writeup.jsp?docid=2009-051900-3410-99
  シマンテック
  http://www.symantec.com/jp

関連記事
いわゆる“GENOウイルス”が猛威、G DATAがその挙動を解説(2009/05/20)
被害が多発する「Gumblarウイルス」への対策を実施しよう(2009/05/21)


( 三柳英樹 )
2009/05/26 16:41

- ページの先頭へ-

INTERNET Watch ホームページ
Copyright (c) 2009 Impress Watch Corporation, an Impress Group company. All rights reserved.