Gumblar
Gumblar(ガンブラー)とは、コンピュータウイルスにコンピュータを
ウェブサイトの
概要
Gumblarではドライブバイダウンロードによってマルウェアをコンピュータに
この
攻撃 の流 れ
Gumblarはその
まず
このときに
主 な対策 方法
クライアント側
OS、ウェブブラウザ、ウイルス
2009
ウェブサイト側
JPCERT/CCや
感染 前
定期 的 なFTPアクセスログの確認 - FTPのアクセス
制限 - GumblarはFTPアカウントを
乗 っ取 りウェブサイトを改竄 する事 もあるため、ウェブサイトの更新 できる場所 やIPアドレスを限定 する事 も対策 の1つとして挙 げられる。
- GumblarはFTPアカウントを
- FTPのアクセス
改竄 検知 システム等 の導入 連絡 先 の公開 - ウェブサイト
運営 者 がGumblarに感染 した事 に気付 かず利用 者 からの連絡 を受 け、改竄 が発覚 するケースもあるため連絡 先 を掲載 しておくと良 い。
- ウェブサイト
- FTPクライアント
対策 - FFFTPではGumblar
感染 後 にレジストリに保存 されているFTP接続 情報 を窃取 されてウェブサイトが改竄 される被害 が相次 いでいる[17]ため、早急 な対策 が必要 である。対策 としてはレジストリの接続 情報 を消去 した後 にFTPのパスワードをパソコン上 で暗号 化 した最新 版 のFFFTPを導入 するか、もしくはよりセキュアなSFTPなどのSSL接続 に対応 しておりマスターパスワードの設定 と接続 情報 のAES暗号 化 が実施 できるWinSCPなどへの乗 り換 えが推奨 されているがFTP接続 の場合 はパスワードなどの設定 を暗号 化 していてもパケットキャプチャでの盗聴 による危険 性 がGumblar流行 以前 から問題 視 されている[18]。なおソフトウェアの脆弱 性 やセキュリティホールが修正 されないままだとSFTP対応 クライアントソフト(抽象 的 には「攻撃 対象 となりうるOSやソフトウェア」)に関 しても危険 性 があるとJPCERT/CCが警告 しており[19][20][21]、根本 的 な対策 としてAdobe Reader/Adobe Acrobat、Flash Player、Java、Windowsなどのソフトウェアを最新 版 にすべきと推奨 している[21]。 - またFTPアカウント
情報 の窃取 の対象 となるソフトウェアはFFFTPだけではなく、複数 の製品 にのぼる[20]。これに加 えて、「Microsoft社 Internet Explorer 6」および「Opera社 Opera 10.10」のアカウント管理 機能 を用 いて保存 されている情報 も窃取 の対象 となっている。また今後 マルウェアが変化 し、アカウント窃取 の対象 となるソフトウェアが変化 する可能 性 があるので上記 で述 べられているような根本 的 な対策 を行 うことが望 ましい[20]。
- FFFTPではGumblar
感染 後
感染 の恐 れがある場合 、早期 に公開 を停止 する公開 されていたコンテンツのソース確認 - ウイルスの
排除 や感染 したパソコンの初期 化 二 次 被害 を防 ぐため、改竄 の事実 の公開 、ウイルス感染 の危険 性 を説明 した上 でオンラインスキャンを薦 めるなど適切 な情報 提供 と注意 喚起 をする事 が望 ましいとされている。
- ウイルス
排除 後 のパスワード変更 - ウイルスを
排除 せずにパスワードを変更 した場合 に再度 改竄 されるというケースもあるため、原因 を排除 したあとパスワードを変更 すると良 い。
- ウイルスを
- ウイルスの
改竄 されたページを正規 のページに置 き換 える利用 者 への注意 喚起 - IPA
等 への届出
誤 った対策 方法
- プログラムを
除去 するため、ブラウザのキャッシュを消 す- ブラウザのキャッシュを
消 しても全 く関係 がない。サーバー運営 元 がこのような誤 まった情報 を流 した場合 、更 なる被害 拡大 に繋 がるおそれがあるため注意 が必要 である。
- ブラウザのキャッシュを
脚注
- ^ 「ガンブラー」は
手口 の名前 、感染 するウイルスはさまざま - ITpro - ^ “ガンブラー” の
手口 を知 り、対策 を行 いましょう - IPA - ^ Experts: Gumblar attack is alive, worse than Conficker
- ^ まさに
手練 の賭 け師 ! Gumblarウイルスの実態 を暴 く - ^
被害 が多発 する「Gumblarウイルス」への対策 を実施 しよう - ^ “PC
界 の豚 インフル”「GENOウイルス」とは?名前 の由来 から対策 までリストアップ:Enterprise:RBB TODAY(ブロードバンド情報 サイト)2009/05/20 - ^ GumblarによるWeb
改 ざん被害 が相次 ぐ、ユーザーも被害 防止 対策 を - INTERNET Watch・2010年 1月 7日 - ^ a b c So-netセキュリティ
関連 ニュース - ^ PC
通販 ショップGENOのサイトにマルウェアが仕込 まれる - スラッシュドット・ジャパン - ^ PC
通販 サイト「GENO」のサイトに改 ざんの疑 い - ^
該当 ウェブサイト - ^ Troj/JSRedir-R
- ^ a b [1]
- ^ ScanNetSecurity - Genoウイルスの
感染 メカニズム【前編 】 - ^
新 たな「Webウイルス」が猛威 、感染 被害 が急増 - ^ Troj/Daonol-Fam
- ^
窓 の杜 - 【NEWS】「FFFTP」のパスワードが “Gumblar” ウイルスにより抜 き取 られる問題 が発生 - ^
以前 から指摘 されるFTP利用 の危険 性 を知 らしめた「Gumblar」攻撃 (1/3) - Security NEXT - ^ PC
内 のFTPアカウント情報 を盗 み出 すマルウェア、JPCERT/CCが注意 喚起 - INTERNET Watch - ^ a b c FTPアカウント
情報 を盗 むマルウェアに関 する注意 喚起 JPCERT/CC - ^ a b Webサイト
改 ざんおよびいわゆる Gumblar関連 マルウェア感染 拡大 に関 する注意 喚起