「Gumblar」とは何だったのか――G Dataが検証

G Data Softwareは、2010年上半期のセキュリティ報告書の中で、数多くの企業サイトとその閲覧者が被害に遭った「Gumblar」攻撃の特徴と対策について解説している。

[國谷武史，ITmedia]

　「Gumblar」攻撃とは何だったのか――セキュリティソフト会社のG Data Softwareは、2010年上半期のセキュリティ報告書の中で、Webサイトの改ざんとマルウェア感染を狙うサイバー攻撃について触れ、その特徴や対策などを紹介している。

　2009年4月ごろに発生した「Gumblar」攻撃は当初、個人サイトや同人系サイトなどを狙っていた。Webサイトが不正に改ざんされ、閲覧者が不正サイトに誘導されてマルウェアに感染した。その後沈静化したものの、2009年末から2010年初頭にかけて、今度は企業のWebサイトが狙われるようになった。改ざん被害に遭ったWebサイトは同社が確認しただけで209サイトに上る。

　「Gumblar」の言葉は、不正サイトとして頻繁に利用されたドメイン「gumblar.cn」に由来する。現在ではこの攻撃手法を悪用した不正サイトが多数存在しているという。

　不正サイトで閲覧者が感染するマルウェアは、主にFTPの認証データを窃取していた。攻撃者は盗んだFTPの認証データでWebサイトを改ざんし、閲覧者のコンピュータにマルウェアを仕込んでいた。マルウェアには偽ウイルス対策ソフトなど幾つもの種類があり、その多くはIDやパスワードを盗み出すものだった。攻撃者の最終的な狙いは、盗んだ個人情報を金銭に換えて利益を上げることだった。

　同社によれば、「Gumblar」はマルウェアの名前の1つとして理解されているケースが多いが、実際には一連の攻撃手法と、攻撃を通じて感染するさまざまなマルウェアの総称だという。

　Gumblar攻撃によってWebサイトが改ざんされる要因には、管理用PCの対策が不十分であったことなどが想定される。管理用PCで電子メールの送受信やWebサイトの閲覧を行わないなど、用途を制限し、できれば専用の機器を用意することが望ましい。同社は以下の7つを具体的な対策として挙げている。

1. 管理用PCの見直しとWebサイトコンテンツの確認
2. FTPのパスワードの変更
3. Webサイトを更新するIPアドレスの制限
4. ソフトウェアやプラグインの脆弱性の解消
5. サポートが終了しているOSやプログラムの不使用
6. ウイルス対策ソフトの適切な使用（アップデートと定期的なフルスキャン）
7. ファイアウォールの適切な使用

企業向け情報を集約した「ITmedia エンタープライズ」も併せてチェック

過去のセキュリティニュース一覧はこちら