Webサイトの改ざんとGumblarウイルスへの感染被害が急増し、JPCERT/CCやセキュリティ各社がユーザーやサイト管理へ対策の早期実施を呼び掛けた。
Webサイトの改ざんと、改ざんされたサイトで閲覧者がマルウェア「Gumblar」(別名Geno、JS-Redirなど)に感染する被害が急増している問題で、JPCERTコーディネーションセンター(JPCERT/CC)やセキュリティ企業が1月7日、ユーザーやサイト管理へ対策の早期実施を呼び掛けた。
Gumblarが関係するとみられるWebサイトの改ざん被害は、2009年春ごろから継続しているが、同年10月下旬から急増。年末年始の長期休暇後に鉄道や流通、メーカーなどの大企業サイトでも相次いで改ざんが見つかり、深刻な問題になっている。
セキュリティ企業によれば、Webサイトの改ざんはSQLインジェクション攻撃をはじめとするさまざまな方法で攻撃者がWebサーバやデータベースに不正侵入し、攻撃者が別に用意している悪質なサーバへのリンクを埋め込む。リンクは難読化されて痕跡を見つけるのが難しく、攻撃を受けたサイトを閲覧すると自動的に悪質なサーバへも接続され、Gumblar関連の不正プログラムが閲覧者のコンピュータにダウンロードされてしまう。
JPCERT/CCは、Gumblar関連の攻撃にAdobeのFlash PlayerやAcrobat、Adobe Reader、また、Java(JRE)やMicrosoft製品の脆弱性が悪用されていると説明。ユーザーへこれらのソフトウェアを最新バージョンへ更新して、不正プログラムに感染する危険を回避してほしいと呼び掛けた。
また、Webサイトの運用管理者へ改ざんの有無を早急に確認し、閲覧者に不正プログラムへ感染させないようにしてほしいと促した。Webサイトへの対策では以下を推奨している。
トレンドマイクロによれば、Gumblar関連の不正プログラムには、改ざんされたサイト経由で感染する「TROJ_DROPR.GB」と、TROJ_DROPR.GBが感染先のコンピュータ上に作成する「TSPY_KATES.SMOD」(Gumblarの本体プログラム)という2つがある。TSPY_KATES.SMODは、ユーザーがWebブラウザなどを起動してマルチメディアデータ処理関連のファイルをコンピュータが読み込んだ際に起動され、FTPプログラムのIDとパスワードを盗聴して外部のサーバなどへ転送する。
感染したユーザーにはWebサイトの運営業務者が含まれているとみられ、同社ではこうしたユーザーが感染を知らずにWebサイト業務を行った際にログイン情報が盗み出され、攻撃者が不正に改ざんしている可能性もあると指摘。
近年は、新種の不正プログラムが短時間に幾つも生成されており、ウイルス対策ソフトの定義ファイルだけでは対応が間に合わない場合がある。抜本的な対策は難しいものの、セキュリティ各社では不正プログラムの特徴的な動作を監視する「振る舞い検出技術」や、コンピュータが通信する先の安全性を事前にセキュリティ会社へ問い合わせる技術の活用を推奨している。
また、JPCERT/CCは今回の問題に関連する情報の提供を、Webフォームと電子メール「info@jpcert.or.jp」(@は半角文字)で受け付けている。
企業向け情報を集約した「ITmedia エンタープライズ」も併せてチェック
Copyright © ITmedia, Inc. All Rights Reserved.