「Gumblarの手口を知り、対策を」IPAが注意喚起


「Gumblar」の手口による攻撃の全体図

 情報処理推進機構(IPA)は3日、2010年1月のウイルス・不正アクセスの届出状況を公表した。IPAでは、一般的に「Gumblar(ガンブラー)」と呼ばれている一連の攻撃に関する多くの相談や問い合わせが寄せられているとして、対策を呼びかけている。

 現在、「Gumblar」と呼ばれている攻撃は、Webサイト改ざんとWeb感染型ウイルスを組み合わせて、多数のPCにウイルスを感染させようとする一連の手口のことを指している。まず、Web感染型ウイルスによって、Webページを閲覧したユーザーのPCがウイルスに感染し、感染したユーザーがWebサイトの管理者であった場合は、Webサイト管理用のIDとパスワードが盗み出される。このIDとパスワードによって管理しているWebサイトが改ざんされ、ページにWeb感染型ウイルスが埋め込まれ、さらにこのページを閲覧したユーザーがウイルスに感染する、といったサイクルで被害を拡大していると考えられている。

 IPAでは、「セキュリティ対策が不十分なPCでは、Webサイトを閲覧するだけでウイルスに感染させられる」「有名企業のサイトが攻撃に使われる場合がある」「感染させられるウイルスは特定のものではなく、攻撃者がコントロールできるため、どのようなウイルスに感染させられるかわからない」という危険があると説明。ユーザーに対して、1)脆弱性の解消、2)ウイルス対策ソフトの導入、3)「ゼロデイ攻撃」への対策――の3点を対策として求めている。

 1)脆弱性の解消は、Web感染型ウイルスはPCの脆弱性を悪用して侵入するため、OS本体やWebブラウザー、各種アプリケーションソフトなど、PCにインストールしているソフトはできる限りすべてを最新版に更新し、脆弱性を解消することを求めている。IPAでは、Flash Playerなどウイルスに狙われることが多いソフトについて、ソフトが最新版となっているかをチェックできるツール「MyJVN バージョンチェッカ」を無料で公開している。

 2)ウイルス対策ソフトの導入については、ウイルス対策ソフトは万能ではないものの重要な対策の1つだとして、ウイルス対策ソフトを導入するとともに、ウイルス定義ファイルを最新に保つことを求めている。特に、Gumblarなど最近の攻撃に対しては、危険なWebサイトを閲覧しようとした時にブロックする機能などを備える、「統合型」と呼ばれる製品を推奨している。

 3)「ゼロデイ攻撃」への対策としては、脆弱性を修正したバージョンが提供される前に攻撃が行われる、いわゆる「ゼロデイ攻撃」がGumblarの手口でも一部で確認されていると説明。ベンダーやIPAなどが発信する情報を確認するとともに、ゼロデイ脆弱性についてはできる限りの回避策を取ることを求めている。

 また、ウイルスに感染してしまった場合、あるいは感染しているか不安な場合は、取りうる手段はウイルス対策ソフトによる検査と駆除となるが、ウイルスに対しては感染してからの対処ではなく、感染を予防する対策が重要だとしている。

 さらに、Webサイトの管理者については、これ以外にも講じるべき対策があるとして、IPAが2009年12月24日に行った注意喚起を参照してほしいとしている。

 2010年1月のウイルス検出数は約7万2000個で、前月の約6万6000個から9%増加。届出件数は1154件で、前月の981件から17.6%増加した。

 1月の不正アクセスの届出件数は20件で、そのうち何らかの被害のあったものが12件。被害届出のうち11件は侵入被害で、侵入被害の原因は、「Gumblar」の手口でFTPのアカウント情報を盗まれたものが1件、詳細は追いきれていないが「Gumblar」の手口だと推測されるものが8件となっている。


関連情報

(三柳 英樹)

2010/2/3 14:58