Gumblar

Gumblarではドライブバイダウンロードによってマルウェアをコンピュータに感染かんせんさせ、FTPアカウントを攻撃こうげき者しゃに送信そうしんさせることによって当該とうがいWebサイトの改竄かいざんが行おこなわれる。特とくに同種どうしゅのマルウェアをダウンロードさせるようなコードが埋うめ込こまれるような改竄かいざんによって、感染かんせん被害ひがいが広ひろがることになる^[7]。

この攻撃こうげきは2009年ねん（平成へいせい21年ねん）3月がつごろから発見はっけんされ始はじめた^[8]。国内こくないでは2009年ねん（平成へいせい21年ねん）5月ごろから同人どうじんサイトや企業きぎょうサイトなどに改竄かいざん被害ひがいが広ひろがり、さらに攻撃こうげき経路けいろやマルウェアの種類しゅるいの変化へんかに伴ともない2009年ねん（平成へいせい21年ねん）12月頃ころから日本にっぽんの大手おおて企業きぎょうのウェブサイト（JR東日本ひがしにっぽん・ホンダ・ローソン・京王けいおうグループ・ハウス食品はうすしょくひんなど多数たすう）における改竄かいざん被害ひがいが拡大かくだいしている。

国内こくないの報道ほうどうでは一般いっぱんに「Gumblar」が用もちいられ、特とくに2009年ねん（平成へいせい21年ねん）12月頃ころから再ふたたび猛威もういを振ふるった際さいには「Gumblar亜種あしゅ」の名称めいしょうも用もちいられてきた。日本にっぽん国内こくないにおいては、早期そうきに同どうウイルスにウェブサイトの感染かんせんを確認かくにんしウェブサイトを切きり替かえたがそれでもウイルスの拡散かくさんが止とまらず感染かんせん者しゃを増ふやしたウェブサイト^[9][10][11]の名前なまえを取とり、「GENOウイルス」と呼よばれている。

一般いっぱんに「Gumblar」には2通とおりの意味いみがあり、「攻撃こうげき手法しゅほう」のことを「Gumblar」と呼よんでいる場合ばあいと「攻撃こうげきで使つかわれるマルウェア」をガンブラーと呼よんでいる場合ばあいの両方りょうほうがある。セキュリティ関連かんれん企業きぎょうがそれぞれ独自どくじの考かんがえ方かたで「Gumblar」という言葉ことばを使つかっているため説明せつめいする人ひとによって、また読よむ資料しりょうによって「Gumblar」の意味いみするところが違ちがうことがある。マスコミによる報道ほうどうでは、「Gumblar」という言葉ことばが「攻撃こうげきで使つかわれるマルウェア」の意味いみで使つかわれることが多おおい^[8]。

Gumblarはその脅威きょういとしてWebサイトに埋うめ込こまれる攻撃こうげきコード、および攻撃こうげきコードによってコンピュータに感染かんせんするマルウェアに大別たいべつされる。

まず何なんらかの不正ふせいアクセスによって、Webページに攻撃こうげきコードを埋うめ込こんで改竄かいざんする。この攻撃こうげきコードは、アンチウイルスベンダーによって「Troj/JSRedir-R」^[12]「JS_GUMBLAR」^[13]などと呼よばれるJavaScriptプログラムである。この攻撃こうげきコードが読よみ込こまれるとAdobe Reader・AcrobatやFlash Player、Java、Windows、Microsoft Officeなどの脆弱ぜいじゃく性せいを利用りようしてクライアント側がわのコンピュータにマルウェアを感染かんせんさせる^[14][15]。

このときに感染かんせんするマルウェアはアンチウイルスベンダーによって「Troj/Daonol-Fam」^[16]「TSPY_KATES」^[13]などと呼よばれるトロイの木馬もくばであり、感染かんせんコンピュータのFTP通信つうしんを監視かんししFTPアカウントを攻撃こうげき者しゃのサーバに送信そうしんする活動かつどうを行おこなう。これによって攻撃こうげき者しゃが当該とうがいWebサイトの管理かんり権限けんげんを取得しゅとくし、サイトの改竄かいざんが行おこなわれる。このとき、JSRedir-R型がたのコードの埋うめ込こまれることによってさらなる同様どうようの攻撃こうげきが広ひろがっていくのである。

元々もともとマルウェアのダウンロード元もとのURLが「gumblar.cn」であったことから「Gumblar」の名称めいしょうが広ひろがったが再ふたたび攻撃こうげきが広ひろまった際さいにパターンが変更へんこうされ、シンプルに攻撃こうげきパターンを分類ぶんるいすると「Gumblar系けい攻撃こうげき」、「Gumblar.x系けい攻撃こうげき」、「ru.8080系けい攻撃こうげき」、「cn.8080系けい攻撃こうげき」、「改変かいへん型がた8080系けい攻撃こうげき」の5タイプが存在そんざいする^[8]。

以上いじょうの説明せつめいは、Webページの改竄かいざんにつながる攻撃こうげきに関かんする場合ばあいに限かぎる。FTPアカウントの盗難とうなんによって、秘密ひみつ情報じょうほうが漏洩ろうえいしたりするおそれがある。またダウンロードされるマルウェアはWebサイトを管理かんりしているコンピュータをターゲットにしているが、他たの活動かつどうを行おこなったりそもそも種類しゅるいが異ことなるマルウェアが感染かんせんする可能かのう性せいもあることに注意ちゅういされたい。

OS、ウェブブラウザ、ウイルス対策たいさくソフトのアップデートを有効ゆうこうにすること。およびユーザーアカウント制御せいぎょにおける高こう権限けんげんで怪あやしいプロセスを実行じっこうしないこと。

2009年ねん当時とうじはブラウザやAdobe提供ていきょうツールにおいてJavaScriptを無効むこう化かするべきとするアドバイスも多おおくあったが、その後ごにブラウザやAdobe提供ていきょうツールでの対策たいさくが逐次ちくじ行おこなわれている。

JPCERT/CCや情報処理じょうほうしょり推進すいしん機構きこう等ひとしでは二に次じ被害ひがいを防止ぼうしするため、以下いかの対策たいさくを推奨すいしょうしている。

• 定期ていき的てきなFTPアクセスログの確認かくにん
  • FTPのアクセス制限せいげん
    • GumblarはFTPアカウントを乗のっ取とりウェブサイトを改竄かいざんする事こともあるため、ウェブサイトの更新こうしんできる場所ばしょやIPアドレスを限定げんていする事ことも対策たいさくの1つとして挙あげられる。
• 改竄かいざん検知けんちシステム等とうの導入どうにゅう
  • 連絡れんらく先さきの公開こうかい
    • ウェブサイト運営うんえい者しゃがGumblarに感染かんせんした事ことに気付きづかず利用りよう者しゃからの連絡れんらくを受うけ、改竄かいざんが発覚はっかくするケースもあるため連絡れんらく先さきを掲載けいさいしておくと良よい。
  • FTPクライアント対策たいさく
    • FFFTPではGumblar感染かんせん後ごにレジストリに保存ほぞんされているFTP接続せつぞく情報じょうほうを窃取せっしゅされてウェブサイトが改竄かいざんされる被害ひがいが相次あいついでいる^[17]ため、早急そうきゅうな対策たいさくが必要ひつようである。対策たいさくとしてはレジストリの接続せつぞく情報じょうほうを消去しょうきょした後のちにFTPのパスワードをパソコン上じょうで暗号あんごう化かした最新さいしん版ばんのFFFTPを導入どうにゅうするか、もしくはよりセキュアなSFTPなどのSSL接続せつぞくに対応たいおうしておりマスターパスワードの設定せっていと接続せつぞく情報じょうほうのAES暗号あんごう化かが実施じっしできるWinSCPなどへの乗のり換かえが推奨すいしょうされているがFTP接続せつぞくの場合ばあいはパスワードなどの設定せっていを暗号あんごう化かしていてもパケットキャプチャでの盗聴とうちょうによる危険きけん性せいがGumblar流行りゅうこう以前いぜんから問題もんだい視しされている^[18]。なおソフトウェアの脆弱ぜいじゃく性せいやセキュリティホールが修正しゅうせいされないままだとSFTP対応たいおうクライアントソフト（抽象ちゅうしょう的てきには「攻撃こうげき対象たいしょうとなりうるOSやソフトウェア」）に関かんしても危険きけん性せいがあるとJPCERT/CCが警告けいこくしており^[19][20][21]、根本こんぽん的てきな対策たいさくとしてAdobe Reader/Adobe Acrobat、Flash Player、Java、Windowsなどのソフトウェアを最新さいしん版ばんにすべきと推奨すいしょうしている^[21]。
    • またFTPアカウント情報じょうほうの窃取せっしゅの対象たいしょうとなるソフトウェアはFFFTPだけではなく、複数ふくすうの製品せいひんにのぼる^[20]。これに加くわえて、「Microsoft社しゃ Internet Explorer 6」および「Opera社しゃ Opera 10.10」のアカウント管理かんり機能きのうを用もちいて保存ほぞんされている情報じょうほうも窃取せっしゅの対象たいしょうとなっている。また今後こんごマルウェアが変化へんかし、アカウント窃取せっしゅの対象たいしょうとなるソフトウェアが変化へんかする可能かのう性せいがあるので上記じょうきで述のべられているような根本こんぽん的てきな対策たいさくを行おこなうことが望のぞましい^[20]。

• 感染かんせんの恐おそれがある場合ばあい、早期そうきに公開こうかいを停止ていしする
• 公開こうかいされていたコンテンツのソース確認かくにん
  • ウイルスの排除はいじょや感染かんせんしたパソコンの初期しょき化か
    • 二に次じ被害ひがいを防ふせぐため、改竄かいざんの事実じじつの公開こうかい、ウイルス感染かんせんの危険きけん性せいを説明せつめいした上うえでオンラインスキャンを薦すすめるなど適切てきせつな情報じょうほう提供ていきょうと注意ちゅうい喚起かんきをする事ことが望のぞましいとされている。
  • ウイルス排除はいじょ後ごのパスワード変更へんこう
    • ウイルスを排除はいじょせずにパスワードを変更へんこうした場合ばあいに再度さいど改竄かいざんされるというケースもあるため、原因げんいんを排除はいじょしたあとパスワードを変更へんこうすると良よい。
• 改竄かいざんされたページを正規せいきのページに置おき換かえる
• 利用りよう者しゃへの注意ちゅうい喚起かんき
• IPA等とうへの届出とどけで

一部いちぶのWebサイト上じょうでは誤あやまった対策たいさく方法ほうほうが掲載けいさいされている。これらの情報じょうほうは処置しょち方法ほうほうとして適切てきせつでないためしっかりと把握はあくし、他たの手段しゅだんを用もちいてウイルスを除去じょきょする必要ひつようがある。

• プログラムを除去じょきょするため、ブラウザのキャッシュを消けす
  • ブラウザのキャッシュを消けしても全まったく関係かんけいがない。サーバー運営うんえい元もとがこのような誤あやままった情報じょうほうを流ながした場合ばあい、更さらなる被害ひがい拡大かくだいに繋つながるおそれがあるため注意ちゅういが必要ひつようである。

• ドライブバイダウンロード

• 情報処理じょうほうしょり推進すいしん機構きこう：情報じょうほうセキュリティ：ウェブサイト管理かんり者しゃへ：ウェブサイト改かいざんに関かんする注意ちゅうい喚起かんき 一般いっぱん利用りよう者しゃへ：改かいざんされたウェブサイトからのウイルス感染かんせんに関かんする注意ちゅうい喚起かんき
• 新しんウイルス ガンブラーにご注意ちゅういを | カスペルスキー 情報じょうほうサイト | JUST Kasperskyポータル
• セキュリティ情報じょうほう(トレンドマイクロ):iFrameを利用りようした攻撃こうげきの概要がいよう動画どうが
• GATEWAY ACCESS PERMISSION SYSTEMS (GAPS)