ここ数日、私のブログに訪れる人の7割の人は、ウイルス「Gumblar」や「ガンブラー」をキーワードにして、検索で訪れています。いつもの日と比べてビックリするくらいの人が「Gumblar」で訪れています。とにかく自分が管理しているサイトを gredでチェック でチェックすることをお勧めします。
USBウイルスが常套化、「Gumblar」などWebからの脅威も続く -INTERNET Watch
トレンドマイクロは7日、2009年の不正プログラムの傾向と今後の対策に関する説明会を開催した。トレンドマイクロThreat Monitoring Centerの飯田朝洋氏は、ウイルス「Gumblar」の相次ぐ被害などに触れ、企業には「システム」「運用」「ユーザー」の3つのセキュリティレベルをすべて高めていくことが求められていると語った。
年末年始にかけては、ウイルス「Gumblar」による企業サイトなどの改ざん被害が多く報告された。Gumblar関連では、実際にユーザーの PCに侵入してFTPアカウントなどを盗み出す「TSPY_KATES」がランキングの4位に入っている。飯田氏によれば、Gumblarは2009年の春と秋の2回に渡って多数のサイト改ざん被害が起きたが、今回の年末年始にかけては特に活動が活発になっているといったことはなく、継続的に起きている被害が大企業のサイトで相次いで起こったことで注目を集めたのではないかという。
説明会では、Gumblarの攻撃で使用されている「TROJ_DROPR.GB」を、仮想マシン上で実際に動作させるデモも披露された。TROJ_DROPR.GBが実行されても見た目上は何の変化も起きないが、実際にはひそかにPC内に「TSPY_KATES.SMOD」が作成され、このプログラムによって通信が監視されることになる。そして、FTPサーバーに接続した際の通信からユーザー名とパスワードが抜き取られ、その情報が外部のサーバーに送信されるという一連の挙動が示された。
Gumblarの被害では「企業にとって重要なWebサーバーが、いまだにFTPで管理されている」という点もセキュリティ的に問題だとして、よりセキュアなプロトコルの使用や、アクセスできる端末の制限などを検討するべきだと指摘。対策としては、ウイルスは亜種が次々に出るためパターンファイルだけでは対策として不十分であり、振る舞い検知や接続先ドメインを評価して怪しい通信をブロックするレピュテーション技術など、複数の対策を組み合わせることが重要だとした。
また、確認されている範囲では、Gumblarで使用されているウイルスは最新版のソフトでは修正済みの脆弱性を狙ったものであるため、OSやブラウザ、プラグインを最新の状態に保つことも重要だが、「OSの修正パッチですら適用が遅れている企業に対しては、プラグインに至るまで最新版を適用させることはなかなか難しい」という対策の困難さを語った。
GumblarによるWeb改ざん被害が相次ぐ、ユーザーも被害防止対策を -INTERNET Watch
2009年12月以降、Webページが改ざんされたことを発表している主な企業は、ラジオ関西、ホンダ、JR東日本、信越放送、ローソン、ハウス食品、モロゾフ、京王グループなど。いずれも、Gumblarの亜種によるものと思われるWebページの改ざんがあり、ウイルス感染を広げるためのスクリプトが埋め込まれたとしている。
多くのサイトで感染被害が報告されており、そうしたページを閲覧したPCもまたウイルスに感染する危険があるため、ユーザー側でもウイルス対策を実施する必要がある。JPCERT/CCでは7日、Gumblarの感染拡大を受けて注意喚起を発表した。Gumblarによる攻撃では、Flash Player、Adobe Reader/Acrobat、Java、Microsoft製品(Windows、Officeなど)の脆弱性を使用していることが確認されているとして、ユーザーに対して各製品をアップデートし、最新版の状態にすることを呼びかけている。
【追記 2010/01/08】
オンラインスキャンを活用するのもいいかもしれません。これは、自分のパソコンをスキャンするためです。サーバーをスキャンするのと区別して考えなければなりません。
オンラインスキャン | ウイルスバスター : トレンドマイクロ
【追記 2010/01/12】
「Gumblar」関連の情報を集めてみました。
トラックバックURL:
https://serene.sakura.ne.jp/blog/2010/01/07/1959/467.php/trackback
