ニュース
» 2010年01月08日 18時16分 UPDATE

Gumblar対策を再チェック 基本的な作業で感染防止を

大手企業のサイトが改ざん被害にあうなど、Gumblarウイルスが猛威を振るっている。ユーザーが取るべき予防策をまとめた。

[ITmedia]

 Gumblarウイルス(別名:GENOウイルス)が年末年始にかけて猛威を振るっている。JR東日本ローソンハウス食品本田技研工業モロゾフなどがそれぞれ、サイトが改ざんされユーザーがGumblarウイルス亜種に感染した恐れがあると発表。JPCERT/CCやIPAも、ユーザーやサイト管理者に改めて注意を呼び掛けている。

画像 JPCERT/CCが集計したWeb改ざん件数届け出の推移

 Gumblarは、改ざんされたWebサイトを閲覧すると感染するウイルス。未対策のPCでは、改ざんサイトをWebブラウザで閲覧しただけで感染してしまうのが特徴で、被害が拡大する原因になっている。

 改ざんサイトには不正なスクリプトが埋め込まれており、閲覧した未対策PCにウイルスをダウンロードさせてインストール。悪意のあるサイトを閲覧させたり、ユーザーのFTPアカウントを盗み出し、さらに別のサイトを改ざんするなどして増殖していく。

 昨年4月〜5月ごろに流行し、その後一時は落ち着いていたが、昨年末になって再び猛威をふるい始めた。JPCERT/CCへの10〜12月のWebサイト改ざん届け出件数は372件と、4〜6月(74件)の5倍、7〜9月(28件)の13倍に跳ね上がっており、Gumblar関連が多くを占めているという。

ユーザーの対策は

 Gumblarは、Flash PlayerやAdobe Acrobat/Reader、Java Runtime Environment(JRE)、Office、Windowsなどの脆弱性を利用するため、対策には、使用しているOSやソフトウェアを最新の状態に保ち、ウイルス対策ソフトの定義ファイルを最新の状態に更新、ウイルス検知機能が有効か確認する――といった基本的な作業が重要になる。

 1月8日時点で、AcrobatとReaderでは未修正の脆弱性が使用されていることが分かっている。このため、13日の修正プログラム公開までは、両ソフトのJavascriptを無効にするか、Windowsユーザーはデータ実行防止機能(DEP)を有効にするという対策を取るよう、JPCERT/CCは呼び掛けている。

各製品の更新法など

Adobe Acrobat/Reader

 メニューの「ヘルプ」→「アップデートの有無をチェック」をクリックし、最新に更新。更新できない場合はAdobe.com - Downloadsで最新版をインストール。

 ※JavaScript無効化は、メニューの「編集」→「環境設定」から「JavaScript」を選択、「Acrobat JavaScriptを使用」のチェックを解除、「OK」を押して設定を反映する。

Flash Player

 Adobe Flash Player:Version Informationでバージョンを確認、最新でない場合はインストールページで最新版をインストール。

Java Runtime Environment(JRE)

 Java ソフトウェアのインストール状況の確認ぺージでJava のバージョンを確認。最新でない場合はダウンロードサイトで最新版をダウンロード。

 ※JavaがインストールされていないPCではインストールを要求される可能性があるが、Javaがいらない場合はインストールも不要。

OfficeやWindowsなどマイクロソフト製品

 Microsoft Updateで更新プログラムを確認・インストール。


サイト管理者も対策を

 Webサイト管理者の対策は、(1)Webサイトを更新できるPCをIPアドレスなどで制限する、(2)サイトが改ざんされていないか確認する、(3)FTPサーバのログを確認する、(4)サイトを更新できるPCがマルウェアに感染していないか確認する――といったことが挙げられる。

 JPCERT/CCによると、改ざんされたサイトの多くに不正なScriptタグが挿入されており、HTMLファイルや外部.js(JavaScript)ファイルに、「/*GNU GPL*/ try 」などの文字列が追記されているケースが多いという。

関連キーワード

GENOウイルス | ウイルス | 改ざん | JPCERT/CC | FTP | 脆弱性


Copyright© 2016 ITmedia, Inc. All Rights Reserved.

Loading

ピックアップコンテンツ

- PR -

マーケット解説

- PR -