情報セキュリティマネジメント試験 用語辞典
攻撃は以下の手順で行われる。
- 改ざんされたサイトにアクセスしたユーザに、マルウェアを秘密裏にダウンロードさせる。
- マルウェアはユーザのFTPアカウント情報を盗み、それを攻撃者に送信する。
- 攻撃者は搾取したFTPアカウント情報を使って、改ざんされたサイトを増殖させる。
- --以下くり返し--
- 別名:
- GENOウイルス
- 分野:
- 情報セキュリティ
脅威 - 重要度:
- ★★★
(Wikipedia Gumblarより)Gumblar(ガンブラー)とは「Webサイト改ざん」と「Web感染型ウイルス(Webサイトを閲覧するだけで感染するウイルス)」を組み合わせて、多数のパソコンをウイルスに感染させようとする攻撃手法(手口)のことである。同攻撃に関連するマルウェアを指す意味でも多用されるが、どの範囲のマルウェアを指すのかはメディアによって様々である。Gumblarによって、国内外でWebサイトの改ざん被害が相次いでいる。
日本国内においては、別名でGENOウイルス(ジェノウイルス)と呼ばれている。
一部で「ガンプラー」と誤記される。
概要
Gumblar攻撃ではドライブバイダウンロードによってマルウェアをコンピュータに感染させ、FTPアカウントを攻撃者に送信させることによって当該Webサイトの改ざんが行われる。特に同種のマルウェアをダウンロードさせるようなコードが埋め込まれるような改ざんによって、感染被害が広がることになる。
この攻撃は2009年(平成21年)3月ごろから発見され始めた。国内では2009年(平成21年)5月ごろから同人サイトや企業サイトなどに改ざん被害が広がり、さらに攻撃経路やマルウェアの種類の変化に伴い2009年(平成21年)12月頃から日本の大手企業のウェブサイト(JR東日本・ホンダ・ローソン・京王グループ・ハウス食品など多数)における改ざん被害が拡大している。
国内の報道では一般に「Gumblar」が用いられ、特に2009年(平成21年)12月頃から再び猛威を振るった際には「Gumblar亜種」の名称も用いられてきた。日本国内においては、早期に同ウイルスにホームページの感染を確認しホームページを切り替えたがそれでもウイルスの拡散が止まらず感染者を増やしたウェブサイトの名前を取り、「GENOウイルス」と呼ばれている。
一般に「Gumblar」には2通りの意味があり、「攻撃手法」のことを「Gumblar」と呼んでいる場合と「攻撃で使われるマルウェア」をガンブラーと呼んでいる場合の両方がある。セキュリティ関連企業がそれぞれ独自の考え方で「Gumblar」という言葉を使っているため説明する人によって、また読む資料によって「Gumblar」の意味するところが違うことがある。マスコミによる報道では、「Gumblar」という言葉が「攻撃で使われるマルウェア」の意味で使われることが多い。
攻撃の流れ
Gumblarはその脅威としてWebサイトに埋め込まれる攻撃コード、および攻撃コードによってコンピュータに感染するマルウェアに大別される。
まず何らかの不正アクセスによって、Webページに攻撃コードを埋め込んで改ざんする。この攻撃コードは、アンチウイルスベンダーによって「Troj/JSRedir-R」「JS_GUMBLAR」などと呼ばれるJavaScriptプログラムである。この攻撃コードが読み込まれるとAdobe Reader・AcrobatやFlash Player、Java、Windows、Microsoft Officeなどの脆弱性を利用してクライアント側のコンピュータにマルウェアを感染させる。
このときに感染するマルウェアはアンチウイルスベンダーによって「Troj/Daonol-Fam」「TSPY_KATES」などと呼ばれるトロイの木馬であり、感染コンピュータのFTP通信を監視しFTPアカウントを攻撃者のサーバに送信する活動を行う。これによって攻撃者が当該Webサイトの管理権限を取得し、サイトの改ざんが行われる。このとき、JSRedir-R型のコードの埋め込まれることによってさらなる同様の攻撃が広がっていくのである。
元々マルウェアのダウンロード元のURLが「gumblar.cn」であったことから「Gumblar」の名称が広がったが再び攻撃が広まった際にパターンが変更され、シンプルに攻撃パターンを分類すると「Gumblar系攻撃」、「Gumblar.x系攻撃」、「ru.8080系攻撃」、「cn.8080系攻撃」、「改変型8080系攻撃」の5タイプが存在する。
以上の説明は、Webページの改ざんにつながる攻撃に関する場合に限る。FTPアカウントの盗難によって、秘密情報が漏洩したりするおそれがある。またダウンロードされるマルウェアはWebサイトを管理しているコンピュータをターゲットにしているが、他の活動を行ったりそもそも種類が異なるマルウェアが感染する可能性もあることに注意されたい。
主な対策方法
クライアント側
- 常駐型のウイルス対策ソフトを常に最新版に更新して使用すること
- Microsoft UpdateやAppleソフトウェア・アップデートを実行しシステムを最新の状態にすること
- Adobe Reader、Java Runtime Environment、Adobe Flash Player、QuickTimeなどを最新版に更新すること
- Adobe ReaderのAcrobat JavaScriptを無効に設定すること
- ブラウザのJavaScriptは無効に設定し、必要なときにだけ有効にする
- ユーザーアカウント制御で怪しいプロセスを実行しないこと
ウェブサイト側
JPCERT/CCや情報処理推進機構等では二次被害を防止するため、以下の対策を推奨している。
感染前
- 定期的なFTPアクセスログの確認
- FTPのアクセス制限
- GumblarはFTPアカウントを乗っ取りウェブサイトを改ざんする事もあるため、ウェブサイトの更新できる場所やIPアドレスを限定する事も対策の1つとして挙げられる。
- 改ざん検知システム等の導入
- 連絡先の公開
- ウェブサイト運営者がGumblarに感染した事に気付かず利用者からの連絡を受け、改ざんが発覚するケースもあるため連絡先を掲載しておくと良い。
- FTPクライアント対策
- FFFTPではGumblar感染後にレジストリに保存されているFTP接続情報を窃取されてホームページが改ざんされる被害が相次いでいるため、早急な対策が必要である。対策としてはレジストリの接続情報を消去した後にFTPのパスワードをパソコン上で暗号化した最新版のFFFTPを導入するか、もしくはよりセキュアなSFTPなどのSSL接続に対応しておりマスターパスワードの設定と接続情報のAES暗号化が実施できるWinSCPなどへの乗り換えが推奨されているがFTP接続の場合はパスワードなどの設定を暗号化していてもパケットキャプチャでの盗聴による危険性がGumblar流行以前から問題視されている。なおソフトウェアの脆弱性やセキュリティホールが修正されないままだとSFTP対応クライアントソフト(抽象的には「攻撃対象となりうるOSやソフトウェア」)に関しても危険性があるとJPCERT/CCが警告しており、根本的な対策としてAdobe Reader/Adobe Acrobat、Flash Player、Java、Windowsなどのソフトウェアを最新版にすべきと推奨している。
- またFTPアカウント情報の窃取の対象となるソフトウェアはFFFTPだけではなく、複数の製品にのぼる。これに加えて、「Microsoft社 Internet Explorer 6」および「Opera社 Opera 10.10」のアカウント管理機能を用いて保存されている情報も窃取の対象となっている。また今後マルウェアが変化し、アカウント窃取の対象となるソフトウェアが変化する可能性があるので上記で述べられているような根本的な対策を行うことが望ましい。
感染後
- 感染の恐れがある場合、早期に公開を停止する
- 公開されていたコンテンツのソース確認
- ウイルスの排除や感染したパソコンの初期化
- 二次被害を防ぐため、改ざんの事実の公開、ウイルス感染の危険性を説明した上でオンラインスキャンを薦めるなど適切な情報提供と注意喚起をする事が望ましいとされている。
- ウイルス排除後のパスワード変更
- ウイルスを排除せずにパスワードを変更した場合に再度改ざんされるというケースもあるため、原因を排除したあとパスワードを変更すると良い。
- 改ざんされたページを正規のページに置き換える
- 利用者への注意喚起
- IPA等への届出
誤った対策方法
一部のWebサイト上では誤った対策方法が掲載されている。これらの情報は処置方法として適切でないためしっかりと把握し、他の手段を用いてウイルスを除去する必要がある。
- プログラムを除去するため、ブラウザのキャッシュを消す
- ブラウザのキャッシュを消しても全く関係がない。サーバー運営元がこのような誤まった情報を流した場合、更なる被害拡大に繋がるおそれがあるため注意が必要である。
「脅威」の用語
「情報セキュリティ」の他の分野
「セキュリティ」の他のカテゴリ
このページのWikipediaよりの記事は、ウィキペディアの「Gumblar」(改訂履歴)の記事を複製、再配布したものにあたり、このページ内の該当部分はクリエイティブ・コモンズ 表示 - 継承 3.0 非移植 ライセンスの下 に提供されています。