Chihilog/Tumblr

【Gumblarとは】

※基本的な挙動に関しては2009年11月の注意喚起より変化はありません。攻撃コードが置かれた悪性サイトにアクセスしたユーザに攻撃を行います。アクセスしたパソコンで利用しているソフトウェアが最新でない場合、感染する可能性があります。

感染後には以下のような挙動を行います。
Gumblarの挙動 ビジネスリスク
FTPに利用するアカウント情報を盗み、そのアカウント情報を悪用してWebサイトを改ざん 信用の失墜、対応コスト増大
感染パソコンのウェブアクセス履歴の漏えい 情報漏えい
他組織のWebサイトを改ざん 不正アクセスへの加担
ウイルス対策ソフトのアップデート機能を妨害 一度感染するとそのパソコンの対策ではウイルス被害を発見できない

JPCERT/CCや米US-CERT、各セキュリティソフトベンダーなどが、「Webサイトに悪意のJavaScriptが埋め込まれる攻撃が4月半ばから多発している」と警告している。

　この攻撃は、活動の拠点となっているサイトのURLから「Gumblar」と名付けられている。日本のユーザーの間では、被害に遭った通販サイトの名称から「GENOウイルス」といった名称でも呼ばれている。特徴としては、感染サイトの広がりが非常に速く、英Sophosでは「これまでに最も流行した攻撃の6倍ものペースで感染サイトを増やす猛威を振るっている」と報告している。

　Gumblarウイルスは、ウイルスに感染させるスクリプトがWebページに埋め込まれており、脆弱性のあるPCでそのページを閲覧した場合に感染するという、仕組みとしては最近流行しているパターンのウイルスだ。しかし、このウイルスの問題は、感染したPCのユーザーが自身のサイトを開設している場合、そのサイトにもウイルスが埋め込まれ、被害者が加害者になりうることにある。

　Gumblarウイルスは、感染するとユーザーが使用しているFTPサーバーのIDやパスワードを盗み、そのユーザーのWebページに悪意のスクリプトを埋め込むという活動を行う。これにより、さらにそのページを閲覧したユーザーにウイルス感染を広げようとするのだ。

　5月21日現在では、このスクリプトによるウイルスのダウンロード元となっていた不正サイトは閉鎖されており、感染拡大は収まりつつある。ただし、利用しているPCが既にウイルスに感染している場合には、FTPサーバーのIDやパスワードなどが攻撃者に盗まれている可能性があり、今後同様のウイルスが発生した場合には、真っ先に犠牲になる可能性もある。

　これまで、ウイルス対策ソフトのパターンファイルは、このウイルスへの対応が遅れがちだったが、幸いこの数日で対応するものが多くなっている。自分のサイトを持っているユーザーなどは、PCやサイトがウイルスに感染していないか、この機会に確認し、駆除や脆弱性対策をしておくべきだろう。

● 4月初旬から「zlkon」、5月半ばから改良された「Gumblar」が活動
　この悪意のスクリプトの元となるものは、4月初旬ごろから国内外に感染サイトを増やしていたようだ。当初は、「zlkon.lv」を活動拠点としたウイルス「zlkon」だったが、その後これに手を加えたと思われる「Gumblar」とその亜種の攻撃が開始された。