「Gumblar」の攻撃が増加・長期化、サイト管理者は細心の注意を


 閲覧者のPCにウイルスを感染させることを狙って、企業や個人の運営するWebサイトが改ざんされる事例が継続的に発生しているとして、情報処理推進機構(IPA)が、サイト管理者に対して注意を呼び掛けている。

 直近ではJR東日本のサイトの一部が2週間にわたり改ざんされ、閲覧者のPCが「Gumblar」ウイルスの亜種に感染する恐れがあったことが判明している。IPAでは、改ざんされたサイトの管理者は、被害者にとどまらず加害者になると指摘し、サイト管理者に対策を促している。

 まず、不正なスクリプトが含まれていないか、サイトの全ページのソースを確認することのほか、改ざんの手口としてサイト管理者のFTPアカウント情報を盗み取る事例もあることから、FTPのアクセスログを定期的に確認したり、アクセスできるIPアドレスやネットワークの制限、サイト更新専用のPCの導入など、サイト運用面での見直しも求めている。

 さらに、サイトが改ざんされた場合については、被害拡大を防ぐために早急な対応が求めらるとし、まずはサイトをいったん公開停止した上で、原因究明と修正作業を実施するよう呼び掛けている。

 IPAでは、企業や自宅でサイトを閲覧する一般利用者に向けても注意を呼び掛けており、Windowsの自動アップデート機能を有効にするとともに、Adobe Readerなどのアプリケーションを最新バージョンにすることを求めている。また、ウイルス感染の有無を確認する方法として、セキュリティベンダー各社のオンラインスキャンサービスも紹介している。


サイトの改ざんからウイルスに感染するまでの流れ(IPAの発表資料より)

11月には、20日間以上の長期にわたり改ざん被害が発生

 フィッシング詐欺防止ソリューションを手がけるセキュアブレインでは、Gumblarの攻撃の変化によって被害が増加し、長期化傾向にあると指摘する。

 Webサイトの安全性をチェックできる無料Webサービス「gred」で収集したデータをもとに、同社の先端技術研究所が悪質サイトの傾向について分析した結果を報告している。「2009年下半期は、まさに『Gumblar』ウイルスが猛威をふるったと言える」という。

 12月22日付で発表された「セキュアブレイン gredセキュリティレポートVol.5」では、5月以降のGumblarの攻撃手法の変遷を紹介した上で、10月に確認された攻撃手法が複雑化していることを指摘。企業のサイト管理者が、自社サイトが改ざんされていることに気付かずに運用を続け、被害が拡大する可能性があると説明している。

 また、Gumblarによる改ざんが確認されたサイト数の6月以降の推移グラフも掲載。6月、7月の被害発生時に比べ、10月の被害発生時は大量のサイトが改ざんされていたことや、6月、7月、10月は1週間程度で終息していたのに対し、11月の被害発生時は20日間以上の長期にわたっていることを指摘している。

 セキュアブレインでは、今後も攻撃手法の変化や亜種の発生により、さらに被害が拡大・長期化する恐れがあるとして、「Webサイトを運営している企業では、細心の注意を払って、自社Webサイトの検査と継続的な監視等、速やかに対策を行う必要がある」と呼び掛けている。


Gumblarによる改ざんが確認されたサイト数の推移(「セキュアブレイン gredセキュリティレポートVol.5」より)

関連情報


(永沢 茂)

2009/12/25 15:24