「間違いだらけのGumblar対策」していませんか？〜エフセキュアがQ＆A公開

エンタープライズその他

2010年1月12日（火） 14時27分

ガンブラーウイルスによるWeb改ざんとその対策（内閣官房情報セキュリティセンターによる画像）

　エフセキュアは12日、公式ブログにて「間違いだらけのGumblar対策」というタイトルの記事を公開し、流行中のウイルス「Gumblar」（ガンブラー）に対する注意喚起を行った。

　同記事では「大手メディアでも取り上げられるようになりましたが、情報が錯綜しているようです」とし、実際に検体を解析したうえで、よくある間違いをQ&A形式にて解説。全12項目にわたっており、とくに重要なポイントとしては、「ソフトを最新版にアップデートするだけでは大丈夫とはいえない」「アドレス制限やファイヤウォールでは防ぎきれない」「Gumblarは耐解析機能があるため、閲覧先Webサイトが安全かどうかチェックしてくれるソフトやサイトでも、判定は完全ではない」といった点があげられている。そして「結局どうすればいいんですか？」という質問に、「まず、感染していないかを確認してください。その後は、OSやインストールされているソフトウェアを最新版にする、ゼロデイ情報に注意し、暫定対応を実施する」と回答している。

　ちなみに現在のGumblarの動作は、「手元のWindowsパソコンが感染する」「そのパソコンで更新しているWebサイトが改ざんされる」という2つの段階に分けられる。まず、感染したサイトを閲覧した際に、脆弱性が利用され、パソコンが感染。Gumblarのバイナリが送り込まれ、パソコン内に潜むようになる。そして、FTPプロトコルを使って外部にアクセスした際に、アカウントとパスワードを盗み出す。この盗んだアカウントでサイバー犯罪者（PC側のGumblarウイルス）はWebサイトにアクセスして、サイトを改ざんするのだ。改ざんされたサイトを、第3者が閲覧することで、さらに感染が拡大することとなる。

　一時的な対策としてはJavaScriptを無効にする（閲覧者側）、サイト更新にはFTPではなくSFTPやSCPを利用する（サイト管理者側）といったものとなるだろう。ただ最近では、Adobe Reader/Acrobatの脆弱性を利用する亜種も出てきており、Adobeの修正版ソフトウェアは2010年1月12日に出る予定だ。今後も同種の脆弱性が発見され、修正版がなかなか出ない可能性などもあるため、エフセキュアでは、「数年間はAdobeのJavaScriptは無効のままにしておいたほうがいい」としている。

　なお先週8日には、警察庁や内閣官房情報セキュリティセンター（NISC）も注意喚起を行うなど、「Gumblar」ウイルスはすでに社会的な問題ともなりつつある。被害者となるだけでなく、感染を広げる加害者ともなる可能性もあるため、サイトを設置している管理者は、充分に対策を行ってほしいとのこと。

《冨岡晶》