急増するサイト改ざんとGumblar感染、対策の速やかな実施を

Webサイトの改ざんとGumblarウイルスへの感染被害が急増し、JPCERT/CCやセキュリティ各社がユーザーやサイト管理へ対策の早期実施を呼び掛けた。

[國谷武史，ITmedia]

　Webサイトの改ざんと、改ざんされたサイトで閲覧者がマルウェア「Gumblar」（別名Geno、JS-Redirなど）に感染する被害が急増している問題で、JPCERTコーディネーションセンター（JPCERT/CC）やセキュリティ企業が1月7日、ユーザーやサイト管理へ対策の早期実施を呼び掛けた。

　Gumblarが関係するとみられるWebサイトの改ざん被害は、2009年春ごろから継続しているが、同年10月下旬から急増。年末年始の長期休暇後に鉄道や流通、メーカーなどの大企業サイトでも相次いで改ざんが見つかり、深刻な問題になっている。

JPCERT/CCへのWebサイト改ざんの届け出状況

　セキュリティ企業によれば、Webサイトの改ざんはSQLインジェクション攻撃をはじめとするさまざまな方法で攻撃者がWebサーバやデータベースに不正侵入し、攻撃者が別に用意している悪質なサーバへのリンクを埋め込む。リンクは難読化されて痕跡を見つけるのが難しく、攻撃を受けたサイトを閲覧すると自動的に悪質なサーバへも接続され、Gumblar関連の不正プログラムが閲覧者のコンピュータにダウンロードされてしまう。

　JPCERT/CCは、Gumblar関連の攻撃にAdobeのFlash PlayerやAcrobat、Adobe Reader、また、Java（JRE）やMicrosoft製品の脆弱性が悪用されていると説明。ユーザーへこれらのソフトウェアを最新バージョンへ更新して、不正プログラムに感染する危険を回避してほしいと呼び掛けた。

　また、Webサイトの運用管理者へ改ざんの有無を早急に確認し、閲覧者に不正プログラムへ感染させないようにしてほしいと促した。Webサイトへの対策では以下を推奨している。

• Webサイトの更新ができるコンピュータを制限する（IPアドレスなど）
• Webサイトで公開しているコンテンツに不正なプログラムが含まれていないこと、コンテンツが改ざんされていないことを確認する
• HTMLファイルや外部.js（JavaScript）ファイルに「/*GNU GPL*/ try」や「＜script＞／＊CODE1＊／try」（＜、＊、／は半角）といった不審な文字列が追記されていないかを確認する
• FTPサーバのログを確認し、アクセス元IPアドレス、アクセス日時などに不審な点がないか確認する
• Web サイトの更新ができるコンピュータがマルウェアに感染していないか確認する。Web サイトの管理を外部に委託している場合は、委託先のコンピュータがマルウェアに感染していないかなど、委託先に確認を依頼する

　トレンドマイクロによれば、Gumblar関連の不正プログラムには、改ざんされたサイト経由で感染する「TROJ_DROPR.GB」と、TROJ_DROPR.GBが感染先のコンピュータ上に作成する「TSPY_KATES.SMOD」（Gumblarの本体プログラム）という2つがある。TSPY_KATES.SMODは、ユーザーがWebブラウザなどを起動してマルチメディアデータ処理関連のファイルをコンピュータが読み込んだ際に起動され、FTPプログラムのIDとパスワードを盗聴して外部のサーバなどへ転送する。

トレンドマイクロも7日の報道向け説明でGumblarの解析状況を紹介。写真はFTPのアカウントを盗み出して外部へ送信した証拠を再現したもの（2行目「S0」で始まるScriptに逆さ順で表示されている）

　感染したユーザーにはWebサイトの運営業務者が含まれているとみられ、同社ではこうしたユーザーが感染を知らずにWebサイト業務を行った際にログイン情報が盗み出され、攻撃者が不正に改ざんしている可能性もあると指摘。

　近年は、新種の不正プログラムが短時間に幾つも生成されており、ウイルス対策ソフトの定義ファイルだけでは対応が間に合わない場合がある。抜本的な対策は難しいものの、セキュリティ各社では不正プログラムの特徴的な動作を監視する「振る舞い検出技術」や、コンピュータが通信する先の安全性を事前にセキュリティ会社へ問い合わせる技術の活用を推奨している。

また、JPCERT/CCは今回の問題に関連する情報の提供を、Webフォームと電子メール「info＠jpcert.or.jp」（＠は半角文字）で受け付けている。

企業向け情報を集約した「ITmedia エンタープライズ」も併せてチェック

過去のセキュリティニュース一覧はこちら