 |
 |
記事検索 |
特別企画 |
 |
||
|
||
【 2009/06/11 】 |
||
|
||
|
||
| ||
|
||
|
||
【 2009/06/09 】 |
||
|
||
|
||
| ||
|
||
|
||
【 2009/06/08 】 |
||
|
||
|
||
| ||
|
||
|
||
【 2009/06/04 】 |
||
|
||
|
||
| ||
|
||
|
||
【 2009/06/02 】 |
||
|
||
|
||
| ||
|
||
|
||
【 2009/05/28 】 |
||
|
||
|
||
| ||
|
||
|
||
【 2009/05/26 】 |
||
|
||
|
||
| ||
|
||
|
||
【 2009/05/21 】 |
||
|
||
|
||
| ||
| ||
|
||
|
||
【 2009/05/15 】 |
||
|
||
|
||
| ||
|
||
|
||
【 2009/05/14 】 |
||
|
||
|
||
| ||
|
||
|
||
【 2009/04/16 】 |
||
|
||
|
||
|
|
||||||||||
|
||||||||||
|
||||||||||
|
||||||||||
|
||||||||||
|
被害が多発する「Gumblarウイルス」への対策を実施しよう |
||||||||||
|
||||||||||
|
|
||||||||||
|
||||||||||
|
||||||||||
|
||||||||||
|
||||||||||
|
||||||||||
|
||||||||||
|
JPCERT/CCや米US-CERT、各セキュリティソフトベンダーなどが、「Webサイトに悪意のJavaScriptが埋め込まれる攻撃が4月半ばから多発している」と警告している。 この攻撃は、活動の拠点となっているサイトのURLから「Gumblar」と名付けられている。日本のユーザーの間では、被害に遭った通販サイトの名称から「GENOウイルス」といった名称でも呼ばれている。特徴としては、感染サイトの広がりが非常に速く、英Sophosでは「これまでに最も流行した攻撃の6倍ものペースで感染サイトを増やす猛威を振るっている」と報告している。 Gumblarウイルスは、ウイルスに感染させるスクリプトがWebページに埋め込まれており、脆弱性のあるPCでそのページを閲覧した場合に感染するという、仕組みとしては最近流行しているパターンのウイルスだ。しかし、このウイルスの問題は、感染したPCのユーザーが自身のサイトを開設している場合、そのサイトにもウイルスが埋め込まれ、被害者が加害者になりうることにある。 Gumblarウイルスは、感染するとユーザーが使用しているFTPサーバーのIDやパスワードを盗み、そのユーザーのWebページに悪意のスクリプトを埋め込むという活動を行う。これにより、さらにそのページを閲覧したユーザーにウイルス感染を広げようとするのだ。 5月21日現在では、このスクリプトによるウイルスのダウンロード元となっていた不正サイトは閉鎖されており、感染拡大は収まりつつある。ただし、利用しているPCが既にウイルスに感染している場合には、FTPサーバーのIDやパスワードなどが攻撃者に盗まれている可能性があり、今後同様のウイルスが発生した場合には、真っ先に犠牲になる可能性もある。 これまで、ウイルス対策ソフトのパターンファイルは、このウイルスへの対応が遅れがちだったが、幸いこの数日で対応するものが多くなっている。自分のサイトを持っているユーザーなどは、PCやサイトがウイルスに感染していないか、この機会に確認し、駆除や脆弱性対策をしておくべきだろう。 ● 4月初旬から「zlkon」、5月半ばから改良された「Gumblar」が活動 この悪意のスクリプトの元となるものは、4月初旬ごろから国内外に感染サイトを増やしていたようだ。当初は、「zlkon.lv」を活動拠点としたウイルス「zlkon」だったが、その後これに手を加えたと思われる「Gumblar」とその亜種の攻撃が開始された。■関連記事 ・ PC通販サイト「GENO」のサイトに改ざんの疑い http://internet.watch.impress.co.jp/cda/news/2009/04/07/23057.html ・ 薬事日報のサイトが改ざん、ウイルスがFTP情報を外部に送信 http://internet.watch.impress.co.jp/cda/news/2009/04/23/23253.html ・ 小林製薬の一部サイトが改ざん、閲覧者はウイルス感染の恐れ http://internet.watch.impress.co.jp/cda/news/2009/05/14/23435.html 企業サイトなどでも、このウイルスによるものと思われる被害が報道されている。このほかにも、レンタルサーバーサービスの「Maido3.com」や、イベントの公式サイト、PC用ゲームの公式サイト、個人が運営するホームページなど、ニュースとしては伝えられていないものも含めて、数多くの感染が報告されている。 また、国内だけでなく海外でも被害は拡大しており、ポータルサイトなどユーザーの多いサイトも被害に遭っているようだ。ちなみに、Googleツールバーの「セーフブラウジング」機能によれば、gumblar.cnを活動拠点とする悪意のスクリプトは世界で1万6202個のドメイン、Gumblarの亜種の拠点とされる「martuz.cn」は1万3441個のドメインで検出されているという。 【お詫びと訂正】 記事初出時、ウイルスの名称を「zolkon」、活動拠点を「zlkon.cn」としていました。正しくは、ウイルスの名称は「zlkon」、活動拠点は「zlkon.lv」です。お詫びして訂正します。 ● 対策は「PCのスキャン」「ソフトの更新」「FTPサーバーのパスワード変更」 現在確認されているGumblarウイルスやその亜種では、Adobe Reader/AcrobatやFlash Playerの脆弱性を悪用して、ウイルスをPCに感染させようとする。感染パターンとしては、まずWebページに悪意のスクリプトが埋め込まれており、脆弱性のあるPCでそのページを閲覧すると、「gumblar.cn」(亜種の場合は「martuz.cn」)から悪意のPDFファイルやFlashファイルがダウンロードされる。古いバージョンのAdobe Reader/AcrobatやFlash Playerを利用していると、Webブラウザからこれらのファイルが開かれ、結果的にWebページを見ただけでPCがウイルスに感染してしまう。 さらに自分のWebサイトを持っていて、サイトの更新にFTPを利用している場合は、被害はより深刻になる。PCに感染したウイルスはFTP通信を監視し、FTPサーバーの名称やID、パスワードを盗み出し、攻撃者が拠点としているサイトに情報を転送する。攻撃者側ではこれらの情報を用いて、FTPサーバーに不正にアクセスすることで、サーバー内のHTMLファイルやPHPファイルなどにスクリプトを埋め込むことで、感染サイトを広げているのだ。 今回のGumblarウイルスは、サイトを閲覧しただけでウイルスに感染するという特徴や、各ウイルス対策ベンダーのパターンファイルへの反映が比較的遅かったことを考えると、ユーザーには今からでもPCのフルスキャンをすることをお勧めしたい。 特に、最近になってPCの動作が重くなったことがある場合などは要注意だ。Gumblarウイルスに感染した場合、典型的な症状としては以下のようなものが挙げられる。また、場合によっては、Windowsが再起動できないなどのケースもあるようだ。
なお、このウイルスは「Gumblar」という名称以外にも、Symantecでは「Infostealer.Daonol」、マイクロソフトでは「Win32/Daonol.F」、Kasperskyでは「Trojan-Dropper.Win32.Agent.apfn」といった名称が付けられている。メーカーによっては特定のウイルス名ではなく、一般的な脅威を示す名称(たとえばトレンドマイクロ製品では「PAK_Generic.001」)で検出するものもあるが、5月20日現在では多くのウイルス対策ソフトで検出が可能となっている。
Adobe Readerの場合には、ソフトの「ヘルプ」メニューから「アップデートの有無をチェック」を選ぶことで、最新版が入手できる。Flash Playerの場合には、Adobeのバージョンテストページ(http://www.adobe.com/jp/support/flashplayer/ts/documents/tn_15507.htm)で最新版かどうかが確認できる。 また、自分のWebサイトを持っているユーザーは、自身のページがウイルスに感染していないかを確認し、FTPサイトのパスワード変更をしておくべきだ。PCだけウイルスを退治しても、FTPサーバーのパスワードを変更しなければ、再びページ内容が改変され、ウイルスを仕掛けられる可能性が高い。 サイトのHTMLファイルなどが改変されていないかを確認するには、いったんローカルPCにダウンロードした上で、ウイルス対策ソフトでスキャンするといった方法が可能だが、間違えてファイルを開いてしまったりせず、ダウンロードしたらすぐスキャンすることが必要なので気を付けよう。 関連情報 ■URL JPCERT/CC JavaScriptが埋め込まれるWebサイトの改ざんに関する注意喚起 http://www.jpcert.or.jp/at/2009/at090010.txt maido3.com ホームページ改ざんに関するこれまでのまとめ http://www.maido3.com/server/info/ Sophosブログ 「Malicious JSRedir-R script found to be biggest malware threat on the web」 http://www.sophos.com/blogs/gc/g/2009/05/14/malicious-jsredir-javascript-biggest-malware-threat-web/ ■関連記事 ・ JPCERT/CC、JavaScriptが埋め込まれるWebサイト改ざんに注意喚起(2009/05/19) ・ いわゆる“GENOウイルス”が猛威、G DATAがその挙動を解説(2009/05/20)
( 大和 哲 )
- ページの先頭へ-
|
