Webサイトを通じて感染するマルウェアの「JSRedir-R」(別名Gumblar)が猛威を振るっている問題で、攻撃に使われているドメインが切り替わり、いたちごっこ状態になっていると、セキュリティ企業のSymantecが伝えた。
SymantecやSANS Internet Storm Centerによると、攻撃には当初、中国の「gumblar」というドメインが使われていたが、数日前にこのドメインはダウン。代わって「martuz」というドメインが使われるようになった。martuzの国別ドメインは「.cn」となっているが、WHOISの情報では英国のIPアドレスが登録されているという。
Webサイトに仕込んだJavaScriptを難読化する手口もさらに巧妙になり、IT管理者やWeb管理者が改ざんに気づきにくくなっている。
攻撃に使われるドメインやJavaScriptは、今後も変わり続けるだろうとSymantecは予想。Gumblarが悪用しているAdobe Acrobat/Flashの脆弱性を修正するパッチを含めてアプリケーションは常に最新版を導入し、ウイルス対策ソフトウェアも常に最新の状態にしておくよう、改めて呼び掛けている。
Copyright © ITmedia, Inc. All Rights Reserved.
Special
PR