「Gumblar」型攻撃に難読化の新たな手口、Symantecが分析

Symantecは、Webサイトの改ざんを通じてマルウェアに感染させる「Gumblar」型攻撃に、新たな手口が見つかったと伝えた。

» 2010年01月12日 18時57分 公開
[ITmedia]

 Webサイトの改ざんを通じて閲覧者をマルウェアに感染させる攻撃が多発している問題で、米Symantecは攻撃の発見を遅らせる新たな手口が見つかったとブログで伝えた。

 この問題では、何らかの手法で第三者がWebサイトに不正なリンクを埋め込むなどの改ざんを行い、閲覧者が改ざんされたサイトを閲覧すると、自動的にリンク先の悪質サイトから不正プログラムがダウンロードされてしまう。

 Symantecによれば、サイトに埋め込まれるリンクに「/*GNU GPL*/」「/*CODE1*/」で始まる2つの文字列がこれまでに確認されていたが、新たに「/*LGPL*/」という文字列が見つかった。

 これは難読化されたJavaScriptで、解読すると広く知られたサイトのURLが列記されている。同社は、攻撃者がセキュリティ対策を迂回する狙いでこうした仕組みを取り入れただろうと指摘。実際のドメイン名は「thechocolateweb.ru」に帰結し、ほかに表示されるURLは関係ないという。

 攻撃は2009年春ごろから増加しており、年末年始にかけて国内の多数の企業サイトが改ざん被害を受けていることが判明した。当初は不正なリンク先の悪質サイトが「gambler.cn」だったことから、このサイトで感染する不正プログラムは「Gumblar」などと呼ばれていた。現在ではリンク先のドメインが常に変化し、ダウンロードされる不正プログラムの特徴も頻繁に変わっている。

 同社によれば、悪質サイトに誘導されるとAdobe AcrobatやReader、Java Runtime Environment(JRE)、Java Development Kitなどに存在する脆弱性を突く不審なPDFファイルなどがダウンロードされる。この不審なファイルがさらにトロイの木馬やボット型の不正プログラム、ユーザーを恐喝して金銭を要求する偽セキュリティソフトなどを呼び込むとしている。

 悪用される脆弱性には、Adobeが1月12日(日本時間13日)に公開予定のセキュリティアップデートで対処するものが含まれており、Symantecはウイルス定義ファイルを最新状態に維持するなどの対策を徹底してほしいと呼び掛けている。

企業向け情報を集約した「ITmedia エンタープライズ」も併せてチェック

過去のセキュリティニュース一覧はこちら

関連ホワイトペーパー

Symantec(シマンテック) | マルウェア | 脆弱性


Copyright © ITmedia, Inc. All Rights Reserved.

注目のテーマ