「間違いだらけのGumblar対策」していませんか? 〜 エフセキュアがQ&A公開 | RBB TODAY

「間違いだらけのGumblar対策」していませんか? 〜 エフセキュアがQ&A公開

エンタープライズ その他

ガンブラーウイルスによるWeb改ざんとその対策(内閣官房情報セキュリティセンターによる画像)
  • ガンブラーウイルスによるWeb改ざんとその対策(内閣官房情報セキュリティセンターによる画像)
  • エフセキュアブログでの注意喚起記事
 エフセキュアは12日、公式ブログにて「間違いだらけのGumblar対策」というタイトルの記事を公開し、流行中のウイルス「Gumblar」(ガンブラー)に対する注意喚起を行った。

 同記事では「大手メディアでも取り上げられるようになりましたが、情報が錯綜しているようです」とし、実際に検体を解析したうえで、よくある間違いをQ&A形式にて解説。全12項目にわたっており、とくに重要なポイントとしては、「ソフトを最新版にアップデートするだけでは大丈夫とはいえない」「アドレス制限やファイヤウォールでは防ぎきれない」「Gumblarは耐解析機能があるため、閲覧先Webサイトが安全かどうかチェックしてくれるソフトやサイトでも、判定は完全ではない」といった点があげられている。そして「結局どうすればいいんですか?」という質問に、「まず、感染していないかを確認してください。その後は、OSやインストールされているソフトウェアを最新版にする、ゼロデイ情報に注意し、暫定対応を実施する」と回答している。

 ちなみに現在のGumblarの動作は、「手元のWindowsパソコンが感染する」「そのパソコンで更新しているWebサイトが改ざんされる」という2つの段階に分けられる。まず、感染したサイトを閲覧した際に、脆弱性が利用され、パソコンが感染。Gumblarのバイナリが送り込まれ、パソコン内に潜むようになる。そして、FTPプロトコルを使って外部にアクセスした際に、アカウントとパスワードを盗み出す。この盗んだアカウントでサイバー犯罪者(PC側のGumblarウイルス)はWebサイトにアクセスして、サイトを改ざんするのだ。改ざんされたサイトを、第3者が閲覧することで、さらに感染が拡大することとなる。

 一時的な対策としてはJavaScriptを無効にする(閲覧者側)、サイト更新にはFTPではなくSFTPやSCPを利用する(サイト管理者側)といったものとなるだろう。ただ最近では、Adobe Reader/Acrobatの脆弱性を利用する亜種も出てきており、Adobeの修正版ソフトウェアは2010年1月12日に出る予定だ。今後も同種の脆弱性が発見され、修正版がなかなか出ない可能性などもあるため、エフセキュアでは、「数年間はAdobeのJavaScriptは無効のままにしておいたほうがいい」としている。

 なお先週8日には、警察庁や内閣官房情報セキュリティセンター(NISC)も注意喚起を行うなど、「Gumblar」ウイルスはすでに社会的な問題ともなりつつある。被害者となるだけでなく、感染を広げる加害者ともなる可能性もあるため、サイトを設置している管理者は、充分に対策を行ってほしいとのこと。
《冨岡晶》

関連ニュース

特集

page top