GumblarによるWeb改ざん被害が相次ぐ、ユーザーも被害防止対策を


 年末から年始にかけて、ウイルス「Gumblar」によるサイト改ざんの被害報告が相次いでいる。

 2009年12月以降、Webページが改ざんされたことを発表している主な企業は、ラジオ関西、ホンダ、JR東日本、信越放送、ローソン、ハウス食品、モロゾフ、京王グループなど。いずれも、Gumblarの亜種によるものと思われるWebページの改ざんがあり、ウイルス感染を広げるためのスクリプトが埋め込まれたとしている。

 Gumblarは、主にWebを媒介として感染を広げている。まず、Webページに埋め込まれたスクリプトが、Webブラウザやプラグインの脆弱性を悪用して、PCにウイルスをインストールする。ウイルスはPCの通信を監視し、FTPによる通信が行われるとIDとパスワードを抜き出し、その情報を特定のサイトに送信する。悪用者はこの情報を利用してFTPサーバーにアクセスし、HTMLファイルを書き換え、Webページにスクリプトを埋め込む。

 Webサイトを管理していて、FTPを利用しているユーザーはそれほど多くはないと思われるが、多数の感染者の中には一定の割合でそうしたユーザーが存在することが想定される。その結果、新たにスクリプトを埋め込まれるサイトが現れ、そのページを閲覧したユーザーの中からまた新たな被害者・感染サイトが現れる、という繰り返しが起こっていると考えられる。

 多くのサイトで感染被害が報告されており、そうしたページを閲覧したPCもまたウイルスに感染する危険があるため、ユーザー側でもウイルス対策を実施する必要がある。

 JPCERT/CCでは7日、Gumblarの感染拡大を受けて注意喚起を発表した。Gumblarによる攻撃では、Flash Player、Adobe Reader/Acrobat、Java、Microsoft製品(Windows、Officeなど)の脆弱性を使用していることが確認されているとして、ユーザーに対して各製品をアップデートし、最新版の状態にすることを呼びかけている。

 ただし、Adobe Reader/Acrobatには最新版でも未修正の脆弱性があり、1月12日(米国時間)に修正パッチが提供される予定となっている。この脆弱性がGumblarの攻撃で使われているという報告も一部であり、現時点で主なセキュリティベンダーからこの脆弱性がGumblarでも使用されているという報告は確認できていないが、修正パッチが提供されるまでは脆弱性を回避するため、Adobe Reader/AcrobatのJavaScript機能をオフにしておくことも必要と思われる。

 一方、Webサイト管理者に対しては、自身のサイトが改ざんされることのないよう、Webサイトの更新ができるPCをIPアドレスなどで制限することや、コンテンツに不正なスクリプトが含まれていないかを確認することなどを求めている。多くの改ざんされたサイトでは、HTMLファイルやJavaScriptファイル(.jsファイル)に特定の文字列が含まれることが確認されており、FTPサーバーのログなども確認して不審な点がないかを確認することや、Webサイトの更新ができるマシンがウイルスに感染していないかを委託先なども含めて確認することを呼びかけている。

【1/8 18:30追記】
 JPCERT/CCは8日、多数のWebサイト改ざん被害が報告されている「Gumblar」(ガンブラー)ウイルスへの注意喚起について、ウイルスが Adobe Reader/Acrobatの未修正の脆弱性も使用していることが確認されていることを追記し、JavaScript機能をオフにするなどの対策を呼びかけた。詳しくは下記の記事を参照。

・「Gumblar」はAdobeのゼロデイ脆弱性も使用、ユーザーは対策を
http://internet.watch.impress.co.jp/docs/news/20100108_341331.html

サイトの改ざんからウイルスに感染するまでの流れ(IPAの発表資料より)

関連情報

(三柳 英樹)

2010/1/7 20:59