Internet Watch logo
記事検索
特別企画
【 2009/06/11 】
6月のマイクロソフトセキュリティ更新を確認する
[20:03]
【 2009/06/09 】
「Googleブック検索」和解案と電子書籍ビジネスの行方(後編)
[12:52]
【 2009/06/08 】
「Googleブック検索」和解案と電子書籍ビジネスの行方(前編)
[14:12]
【 2009/06/04 】
多彩なリフィルでタスクも予定も柔軟に管理できる「xfy Planner」
[10:54]
【 2009/06/02 】
DirectShowのゼロデイ脆弱性に対応する
[14:18]
【 2009/05/28 】
ソニー「nav-u」の小さいカーナビ使ってみました<徒歩・自転車編>
[10:56]
【 2009/05/26 】
SNSはメールの10倍危険? 「心がけ」が大事とカスペルスキー氏
[11:24]
【 2009/05/21 】
被害が多発する「Gumblarウイルス」への対策を実施しよう
[19:20]
ソニー「nav-u」の小さいカーナビ使ってみました<基本機能編>
[11:00]
【 2009/05/15 】
Adobe Reader/Acrobatの脆弱性対策を考える
[15:27]
【 2009/05/14 】
5月のマイクロソフトセキュリティ更新を確認する
[12:58]
【 2009/04/16 】
4月のマイクロソフトセキュリティ更新を確認する
[15:57]

被害が多発する「Gumblarウイルス」への対策を実施しよう


 JPCERT/CCや米US-CERT、各セキュリティソフトベンダーなどが、「Webサイトに悪意のJavaScriptが埋め込まれる攻撃が4月半ばから多発している」と警告している。

 この攻撃は、活動の拠点となっているサイトのURLから「Gumblar」と名付けられている。日本のユーザーの間では、被害に遭った通販サイトの名称から「GENOウイルス」といった名称でも呼ばれている。特徴としては、感染サイトの広がりが非常に速く、英Sophosでは「これまでに最も流行した攻撃の6倍ものペースで感染サイトを増やす猛威を振るっている」と報告している。

 Gumblarウイルスは、ウイルスに感染させるスクリプトがWebページに埋め込まれており、脆弱性のあるPCでそのページを閲覧した場合に感染するという、仕組みとしては最近流行しているパターンのウイルスだ。しかし、このウイルスの問題は、感染したPCのユーザーが自身のサイトを開設している場合、そのサイトにもウイルスが埋め込まれ、被害者が加害者になりうることにある。

 Gumblarウイルスは、感染するとユーザーが使用しているFTPサーバーのIDやパスワードを盗み、そのユーザーのWebページに悪意のスクリプトを埋め込むという活動を行う。これにより、さらにそのページを閲覧したユーザーにウイルス感染を広げようとするのだ。

 5月21日現在では、このスクリプトによるウイルスのダウンロード元となっていた不正サイトは閉鎖されており、感染拡大は収まりつつある。ただし、利用しているPCが既にウイルスに感染している場合には、FTPサーバーのIDやパスワードなどが攻撃者に盗まれている可能性があり、今後同様のウイルスが発生した場合には、真っ先に犠牲になる可能性もある。

 これまで、ウイルス対策ソフトのパターンファイルは、このウイルスへの対応が遅れがちだったが、幸いこの数日で対応するものが多くなっている。自分のサイトを持っているユーザーなどは、PCやサイトがウイルスに感染していないか、この機会に確認し、駆除や脆弱性対策をしておくべきだろう。


4月初旬から「zlkon」、5月半ばから改良された「Gumblar」が活動

 この悪意のスクリプトの元となるものは、4月初旬ごろから国内外に感染サイトを増やしていたようだ。当初は、「zlkon.lv」を活動拠点としたウイルス「zlkon」だったが、その後これに手を加えたと思われる「Gumblar」とその亜種の攻撃が開始された。

関連記事
・ PC通販サイト「GENO」のサイトに改ざんの疑い
http://internet.watch.impress.co.jp/cda/news/2009/04/07/23057.html
・ 薬事日報のサイトが改ざん、ウイルスがFTP情報を外部に送信
http://internet.watch.impress.co.jp/cda/news/2009/04/23/23253.html
・ 小林製薬の一部サイトが改ざん、閲覧者はウイルス感染の恐れ
http://internet.watch.impress.co.jp/cda/news/2009/05/14/23435.html

 企業サイトなどでも、このウイルスによるものと思われる被害が報道されている。このほかにも、レンタルサーバーサービスの「Maido3.com」や、イベントの公式サイト、PC用ゲームの公式サイト、個人が運営するホームページなど、ニュースとしては伝えられていないものも含めて、数多くの感染が報告されている。

 また、国内だけでなく海外でも被害は拡大しており、ポータルサイトなどユーザーの多いサイトも被害に遭っているようだ。ちなみに、Googleツールバーの「セーフブラウジング」機能によれば、gumblar.cnを活動拠点とする悪意のスクリプトは世界で1万6202個のドメイン、Gumblarの亜種の拠点とされる「martuz.cn」は1万3441個のドメインで検出されているという。

【お詫びと訂正】
 記事初出時、ウイルスの名称を「zolkon」、活動拠点を「zlkon.cn」としていました。正しくは、ウイルスの名称は「zlkon」、活動拠点は「zlkon.lv」です。お詫びして訂正します。


対策は「PCのスキャン」「ソフトの更新」「FTPサーバーのパスワード変更」

 現在確認されているGumblarウイルスやその亜種では、Adobe Reader/AcrobatやFlash Playerの脆弱性を悪用して、ウイルスをPCに感染させようとする。

 感染パターンとしては、まずWebページに悪意のスクリプトが埋め込まれており、脆弱性のあるPCでそのページを閲覧すると、「gumblar.cn」(亜種の場合は「martuz.cn」)から悪意のPDFファイルやFlashファイルがダウンロードされる。古いバージョンのAdobe Reader/AcrobatやFlash Playerを利用していると、Webブラウザからこれらのファイルが開かれ、結果的にWebページを見ただけでPCがウイルスに感染してしまう。

 さらに自分のWebサイトを持っていて、サイトの更新にFTPを利用している場合は、被害はより深刻になる。PCに感染したウイルスはFTP通信を監視し、FTPサーバーの名称やID、パスワードを盗み出し、攻撃者が拠点としているサイトに情報を転送する。攻撃者側ではこれらの情報を用いて、FTPサーバーに不正にアクセスすることで、サーバー内のHTMLファイルやPHPファイルなどにスクリプトを埋め込むことで、感染サイトを広げているのだ。

 今回のGumblarウイルスは、サイトを閲覧しただけでウイルスに感染するという特徴や、各ウイルス対策ベンダーのパターンファイルへの反映が比較的遅かったことを考えると、ユーザーには今からでもPCのフルスキャンをすることをお勧めしたい。

 特に、最近になってPCの動作が重くなったことがある場合などは要注意だ。Gumblarウイルスに感染した場合、典型的な症状としては以下のようなものが挙げられる。また、場合によっては、Windowsが再起動できないなどのケースもあるようだ。
  • CPU、メモリ使用率が上昇し、PCの動作が重く感じられる
  • Microsoft Updateやアンチウイルスベンダのサイトにアクセスできなくなる
  • cmd.exe、regedit.exeが起動できなくなる
  • explorer.exeがときどき異常終了する
  • ウイルス対策ソフトのパターンファイルが更新不能になる

 なお、このウイルスは「Gumblar」という名称以外にも、Symantecでは「Infostealer.Daonol」、マイクロソフトでは「Win32/Daonol.F」、Kasperskyでは「Trojan-Dropper.Win32.Agent.apfn」といった名称が付けられている。メーカーによっては特定のウイルス名ではなく、一般的な脅威を示す名称(たとえばトレンドマイクロ製品では「PAK_Generic.001」)で検出するものもあるが、5月20日現在では多くのウイルス対策ソフトで検出が可能となっている。


Flash Playerのバージョンテストページ
 また、PCのスキャンに加えて、使用しているアプリケーションソフトのアップデートも確実に行っておこう。Gumblarウイルスもそうだが、最近はOSの脆弱性だけでなくアプリケーションの脆弱性を悪用するウイルスが非常に多くなっている。

 Adobe Readerの場合には、ソフトの「ヘルプ」メニューから「アップデートの有無をチェック」を選ぶことで、最新版が入手できる。Flash Playerの場合には、Adobeのバージョンテストページ(http://www.adobe.com/jp/support/flashplayer/ts/documents/tn_15507.htm)で最新版かどうかが確認できる。

 また、自分のWebサイトを持っているユーザーは、自身のページがウイルスに感染していないかを確認し、FTPサイトのパスワード変更をしておくべきだ。PCだけウイルスを退治しても、FTPサーバーのパスワードを変更しなければ、再びページ内容が改変され、ウイルスを仕掛けられる可能性が高い。

 サイトのHTMLファイルなどが改変されていないかを確認するには、いったんローカルPCにダウンロードした上で、ウイルス対策ソフトでスキャンするといった方法が可能だが、間違えてファイルを開いてしまったりせず、ダウンロードしたらすぐスキャンすることが必要なので気を付けよう。


関連情報

URL
  JPCERT/CC JavaScriptが埋め込まれるWebサイトの改ざんに関する注意喚起
  http://www.jpcert.or.jp/at/2009/at090010.txt
  maido3.com ホームページ改ざんに関するこれまでのまとめ
  http://www.maido3.com/server/info/
  Sophosブログ 「Malicious JSRedir-R script found to be biggest malware threat on the web」
  http://www.sophos.com/blogs/gc/g/2009/05/14/malicious-jsredir-javascript-biggest-malware-threat-web/

関連記事
JPCERT/CC、JavaScriptが埋め込まれるWebサイト改ざんに注意喚起(2009/05/19)
いわゆる“GENOウイルス”が猛威、G DATAがその挙動を解説(2009/05/20)


( 大和 哲 )
2009/05/21 19:20

- ページの先頭へ-

INTERNET Watch ホームページ
Copyright (c) 2009 Impress Watch Corporation, an Impress Group company. All rights reserved.