GUMBLAR(ガンブラー)の対策
2009年末より、企業のWebサイトが改ざんされ、「JS_GUMBLAR(ガンブラー)」の亜種などが埋め込まれる事例が相次いでいます。改ざんされたWebサイトを閲覧した場合、FTPアカウント情報などを盗む不正プログラムや偽セキュリティソフトなど複数の不正プログラムに感染する可能性があります。
ガンブラー攻撃について
正規Webサイトを改ざんしサイト訪問者を不正なWebサイトに誘導、不正プログラムに感染させようとする攻撃です。
改ざんされたWebサイトを閲覧すると、埋め込まれた不正プログラム(「JS_GUMBLAR」など)や不正コードによって、不正なWebサイトへ誘導されます。そこから、FTPアカウント情報などを盗む不正プログラム(「TSPY_KATES」など)や偽セキュリティソフトなど複数の不正プログラムに感染する可能性があります。このとき、しばしばAdobe Reader/Acrobat/Flash Playerの脆弱性が使われます。また、攻撃者は感染コンピュータから盗んだFTPアカウント情報を別のWebサイト改ざんのために悪用するため、複数のWebサイトが連鎖的に被害に遭うことが多くなります。
動きは以下の通りです。
- 攻撃者は、不正プログラムによって不正に入手したFTPアカウント情報を用いるなどして、不正プログラムを埋め込んだりコードを改ざんしたりします。
- 改ざんされたWebサイトを閲覧した場合、不正なWebサイトへ誘導されます。そこから不正プログラムに感染する可能性があります。
- 不正プログラムに感染させたコンピュータから盗んだFTP情報を用いて、新たなWeb改ざんを行います。
対策
一般利用者
いつも普通に利用していたWebが突然感染源になる可能性があり、「怪しいサイトは見ない」といった心がけレベルの対策では通用しません。以下を再度確認してください。
1) セキュリティソフトを使用する
改ざんされたWebを閲覧すると、不正プログラムがダウンロードされますが、セキュリティソフトを正しく使用していれば、感染を高い確率で防ぐことができます。また、セキュリティソフトの中には、レピュテーション技術で、リダイレクト先の不正なWebへのアクセスをブロックするものがあります(Webレピュテーション)。こちらの機能を持つセキュリティソフトがおすすめです。
2) セキュリティホール対策をする
改ざんされたWebサイトの閲覧時に不正プログラムに感染させるため、しばしばアプリケーションの脆弱性が使われます。
ガンブラー攻撃での使用が確認されている脆弱性としては、Adobe Reader/Acrobat/Flash Playerがあります。その他のアプリケーションについても、脆弱性が狙われる可能性があります。脆弱性のあるアプリケーションを使用していると、そこがセキュリティホールとなり、不正プログラムに感染しやすくなります。
Windows Updateを使うのはもちろん、お使いの製品のセキュリティ情報を確認し、最新のバージョンにするなどして、セキュリティホールをしっかりふさいでおきましょう。
Webサイト運営者
ご自身が管理しているWebサイトが改ざんされた場合、被害者になると同時に、訪問者にウイルス感染させてしまう“加害者”になってしまいます。 以下を再度確認してください。
1) セキュリティ修正プログラムを適用する
お使いのシステムの脆弱性を確認し、セキュリティ修正プログラム(セキュリティパッチ)は必ず適用してください。
2) ID、パスワード管理の徹底
IDとパスワードを盗まれ、Webサーバ管理権限を乗っ取られる場合があります。ID/パスワードを他人と共有しない、パスワードは定期的に変更する、複数のサービスで同じパスワードを使用しないなど、きちんと管理しましょう。
3) サイトのソースコードを定期的に確認
万一改ざんされた場合、被害を最小限に防ぐためにも、定期的に公開しているサイトのソースコードを確認しましょう。
関連情報
インターネット・セキュリティ・ナレッジ
Webサイト改ざんによるウイルス感染の仕組み、対策は下記に詳しく掲載しています。ぜひ参考にしてください。
インターネット脅威マンスリーレポート - 2009年12月度
正規のWebサイトがガンブラー攻撃によって改ざん、訪問者に不正プログラム感染させる流れをわかりやすい図を用いて解説しています。
トレンドマイクロ セキュリティブログ
トレンドマイクロのウイルス解析担当者による解説です。上級者向け。
