「大手企業○○のサイトが改ざんされていたことが判明しました。改ざんされたページを閲覧していた場合、パソコンがウイルスに感染したおそれがあります」。2009年末から、テレビや新聞などでこのようなニュースを頻繁に見かけるようになり、関連して「ガンブラー」という言葉もよく目にするようになりました。「改ざんされたサイトを見たような気がする。ウイルスに感染しているかも…」と不安を抱えている方もいらっしゃるでしょう。ここでは、パソコンにあまり詳しくない方のために、2009年春から発生している「サイト改ざん攻撃」の仕組みや対策の方法について、Q&A方式で説明します。
◆Q1 サイトの改ざんとウイルス感染はどのように結びついているのでしょうか。
◆Q2 改ざんされたサイトは、見た目に何か変化があるのでしょうか。
◆Q3 改ざんされたサイトにアクセスすると、必ずウイルスに感染するのでしょうか。
◆Q4 サイト改ざんでは、現在までずっと同じ攻撃方法が使われているのでしょうか。
◆Q5 ニュース等でよく目にする「ガンブラー」とは何を指しているのでしょうか。
◆Q6 「Gumblar」や「Gumblar.x」の情報は、「8080」にもあてはまりますか。
◆Q7 感染した場合、ウイルスはどんな悪さをするのでしょうか。
◆Q8 どんな状態のパソコンがウイルスに感染してしまうのでしょうか。
◆Q9 ウイルス感染を防ぐための対策を教えてください。
◆Q10 何も対策していない状態で改ざんサイトを閲覧してしまいました。どうすればいい?
◆Q1
サイトの改ざんとウイルス感染はどのように結びついているのでしょうか。
◇A1
「サイト改ざん攻撃」にはいくつかのパターンがありますが、このトピックスでは2009年春から国内のサイト多数を改ざんしている攻撃について説明します。攻撃は、次のような流れで実行されています。
(1) サイトの管理に使っているパソコンがウイルスに感染する。
↓
(2) ウイルスは、サイトを更新するときに使うFTPの接続情報(IDやパスワードなど)を盗み取り、攻撃者が用意した情報収集用のサーバーに送信する。
↓
(3) 入手した情報をもとに、攻撃者が用意した改ざん用のサーバーが各サイトを巡回し、サイトを改ざんする。具体的には、攻撃用のプログラムが置かれた悪質なサイト(攻撃サイト)へ誘導するリンクをサイトに埋め込む。
↓
(4) ネットユーザーが改ざんされたサイトにアクセスすると、埋め込まれたリンクによって自動的に攻撃サイトへ誘導される。セキュリティ対策の甘いパソコンは、攻撃プログラムによってウイルスに感染してしまう。
(4)でウイルスに感染したパソコンがサイトの管理に使われていたら、(1)からまた新たな攻撃サイクルが始まります。ウイルス感染の被害者が、今度は他人のパソコンを感染させる加害者になってしまうのです。
◆Q2
改ざんされたサイトは、見た目に何か変化があるのでしょうか。
◇A2
サイトが改ざんされていても、見た目には何も変わっていません。しかし、閲覧者に気づかれない形で、攻撃サイトへのアクセスが実行されています。
◆Q3
改ざんされたサイトにアクセスすると、必ずウイルスに感染するのでしょうか。
◇A3
この後の「Q&A 9」で説明する対策を漏れなく実行したパソコンなら、改ざんされたサイトにアクセスしてもウイルスに感染しません(2010年1月23日現在)。
◆Q4
現在まで、ずっと同じ攻撃方法が使われているのでしょうか。
◇A4
「サイト改ざん攻撃」にはいくつかのパターンがありますが、このうち、このトピックスでとりあげている「FTPの接続情報を盗み取ってサイトを改ざんする」パターンの攻撃を、当編集部では2系統、4タイプに分けて考えています。以下にその説明をしますが、「補足」とした部分では少々難しい解説もしていますので、興味のある方は目を通してみてください。
系統1:Gumblar系
<Gumblar>
2009年の3月下旬から5月にかけて行われていた攻撃。国内への影響が顕著になったのは2009年4月です。2009年5月半ばに攻撃が終息しました。攻撃サイトが一時期「gumblar.cn」というサーバーに置かれていたことから、Gumblarという呼び名が付いています。
★補足★
攻撃サイトは、3月下旬から4月下旬までは「zlKon.lv」(lvはラトビア)に置かれていましたが、その後「gumblar.cn」(cnは中国)、「martuz.cn」へと移動しました。
次のソフトウェア/コンポーネントの脆弱性を悪用していました。
・Microsoft Data Access Components
・Adobe Reader
・Flash Player
<Gumblar.x>
2009年10月に始まった攻撃です。上記の元祖Gumblarでは攻撃サイトが特定のサーバーに置かれていましたが、Gumblar.xでは一般のWebサイトが使われるようになり、対応が難しくなりました。このタイプの攻撃は2009年12月下旬に沈静化しており、現時点(2010年1月23日)では、多くのセキュリティ対策ソフトで対応済みです。
★補足★
Gumblarに改ざんされたサイトが再び改ざんされたケースが多いこと、攻撃が成立したときにパソコンにインストールされるウイルスが類似していることなど、Gumblarとの共通点が多いことから、編集部では、GumblarとGumblar.xを同じ系統の攻撃だと考えています。
html、php、jsファイルに、書き込める範囲で手当たり次第にJavaScriptを埋め込んでいたようです。
次のソフトウェア/コンポーネントの脆弱性を悪用していました。
・Microsoft Office Webコンポーネント(MDAC)
・Internet Explorer 7
・Adobe Reader
・Flash Player
系統2:8080系
<ru.8080>
2009年12月から攻撃活動が始まり、現時点(2010年1月23日)で猛威をふるっているタイプです。ロシアのドメインの8080ポート(.ru:8080)を利用するのでこう呼んでいます。攻撃が成立すると、GumblarやGumblar.xとは異なるタイプのウイルスがパソコンにインストールされます。2010年1月23日の時点で現在進行形の攻撃なので、ウイルスがしばしば更新され、セキュリティ対策ソフトの対応がなかなか追いつかない状況となっています。
★補足★
最終的にパソコンにインストールされるウイルスのタイプや、悪用する脆弱性、改ざんされるファイルと改ざん内容が異なっているため、編集部ではGumblarやGumblar.xとは別の系統の攻撃だと考えています。
「.ru:8080」を利用する、改ざんサイトに埋め込まれるJavaScriptに「/*GNU GPL*/」や「/*CODE1*/」「/*LGPL*/」、あるいは「*Exception*」という文字列が使われているなどの特徴があります。攻撃サイトは、オランダやフランスのフリーサーバーなど、5つのサーバーに分散されています。
.jsは手当たり次第に、ページファイルに関してはデフォルトページに絞って改ざんしているようです。
2010年1月23日の時点で、次のソフトウェア/コンポーネントの脆弱性を悪用しています。
・Microsoft Data Access Components(MDAC)
・SnapShot Viewer
・DirectShow(Microsoft Video ActiveXコントロール)
・Adobe Reader
・JRE(Java Runtime Environment)
<cn.8080>
2009年6月頃から始まった攻撃で、国内への影響はありませんでした。主に中国ドメインの8080ポート(.cn:8080)を使っていたのでこう呼んでいます。
★補足★
8080ポートを使うこと、攻撃サイトが主に欧州方面の5基のサーバーに分散して置かれていること、攻撃が成立したときにパソコンにインストールされるウイルスが同系である(Bredolab)ことなど、ru.8080との共通点が多いため、編集部ではこれを ru.8080の前身だと考えています。
◆Q5
サイトが改ざんされたというニュースで、ガンブラーという言葉が使われていました。ガンブラーとは何を指しているのでしょうか。
◇A5
前述の「Q&A 4」で説明した「攻撃活動」をガンブラーと呼んでいる場合と、攻撃で使われる「ウイルス」をガンブラーと呼んでいる場合の両方があります。セキュリティ対策企業がそれぞれ独自の考え方で「ガンブラー」という言葉を使っているので、説明する人によって、また読む資料によって、「ガンブラー」の意味するものが違うという少々ややこしい事態となっています。マスコミ報道では、「ガンブラー」という言葉をウイルスの名称として使っていることが多いようです。
セキュリティ対策企業各社が公開している「ガンブラー」に関する資料をあげておきますので、興味のある方は目を通してみてください。
【セキュリティ対策企業が公開するガンブラー関連資料】(五十音順)
・カスペルスキー
http://www.just-kaspersky.jp/products/info/alert_gumblar.html
・G Data Software
http://gdata.co.jp/press/archives/2010/01/post_72.htm
・シマンテック
http://communityjp.norton.com/t5/blogs/blogarticlepage/blog-id/npbj/article-id/45
・トレンドマイクロ
http://jp.trendmicro.com/jp/threat/solutions/gumblar/
・マカフィー
http://www.mcafee.com/japan/security/gumblar.asp
◆Q6
「Gumblar」や「Gumblar.x」の情報は、「8080」にもあてはまりますか。
◇A6
あてはまる部分とあてはまらない部分があります。システムやソフトウェアを最新版にすることが感染予防策となる点では、Gumblar系も8080もいっしょです。しかし8080では、Gumblar系では使われていなかった脆弱性も使われています。このため、GumblarとGumblar.xの予防策は8080に対しては不十分で、感染を防ぐことができません(Q&A 8で説明しています)。また、GumblarとGumblar.x用の感染判定方法は、8080ではまったく役に立ちません。
Gumblar.xも8080もいっしょにして「ガンブラー」として報道されることが多いためか、Gumblar系の古い情報を掲載しているブログやホームページがあるのが困ったところです。
◆Q7
パソコンがウイルスに感染した場合、ウイルスはどんな悪さをするのでしょうか。
◇A7
Gumblar系と8080で異なります。セキュリティ対策企業の情報をまとめると以下のようになります。
<GumblarとGumblar.xでは>
ウイルスの検出名:Kates、Daonol、Landoなど
・ FTPサーバーへのログイン名とパスワードを盗んで攻撃者に送信する。FTPのIDとパスワードだけでなく、感染パソコンで入力した各種ログインIDやパスワードすべてを盗んでいる可能性もある。
・ 感染パソコンがボットネットに組み込まれ、スパム活動に加担させられたり、偽セキュリティソフト詐欺の被害にあったりするおそれがある。
・ Googleなどの検索結果を操作する。その結果、攻撃者が関与する悪質なサイトを閲覧してしまい、別のウイルスに感染するおそれがある。
・ Adobeや、セキュリティ関連のサイトにアクセスできないようにする。
・ 真っ黒の画面にマウスポインタだけが表示され、その後の操作ができなくなることがある。(これはウイルスにプログラム上のミスがあるため起きる症状と思われる)
【参考資料】
・ 盗み出されたFTPログイン情報からWebサイト改ざんに発展(トレンドマイクロ)
http://jp.trendmicro.com/jp/threat/securityheadlines/article/20090618073737.html
・ 「GENOウイルス」対策について(G DATA)
http://gdata.co.jp/press/archives/2009/05/geno.htm
・ Win32/Daonol[英文](Microsoft)
http://www.microsoft.com/security/portal/Threat/Encyclopedia/Entry.aspx?Name=Win32%2fDaonol
・ 黒い画面にマウスカーソル(Win32/Daonol)(日本のセキュリティチームのブログ)
http://blogs.technet.com/jpsecurity/archive/2009/10/23/3288625.aspx
<8080では>
※ 2010年1月23日現在の情報。今後、ウイルスが別のものに変更されて別の症状が発生する可能性があります。
ウイルスの検出名:Bredolab、Piker、Kryptik、Pkoobfなど。2010年1月23日の時点ではAgent、Downloader、Dropperといった汎用名で検出されることが多い。
・ 別の不正なファイル(スパイウェアやウイルスなど)をダウンロード・実行する。どんなファイルでも攻撃者の思うがままにパソコンに送り込めるので、どんな症状が起こるかを予測できない。言い換えると、パソコンが攻撃者に乗っ取られて、あらゆる悪事を実行されるおそれがある。
・ 偽のセキュリティソフトをインストールする。「Security Tool」という、駆除するのにたいへん手間がかかる偽ソフトをインストールされてしまったという報告が複数ある。
【参考資料】
・ Gumblar (ガンブラー) ?Web 攻撃を解説(ノートンプロテクションブログ)
http://communityjp.norton.com/t5/blogs/blogarticlepage/blog-id/npbj/article-id/45
・ TrojanDownloader:Win32/Bredolab.AA[英文](Microsoft)
http://www.microsoft.com/security/portal/Threat/Encyclopedia/Entry.aspx?Name=TrojanDownloader%3AWin32%2FBredolab.AA
・ Security Toolの情報
TROJ_FAKEAV.MET[英文](Trend Micro)
http://threatinfo.trendmicro.com/vinfo/virusencyclo/default5.asp?VName=TROJ_FAKEAV.MET&VSect=P
◆Q8
どんな状態のパソコンがウイルスに感染してしまうのでしょうか。
◇A8
ウイルスは、システムやソフトウェアの脆弱性を悪用してパソコンの中に入り込みます。脆弱性を修正するには、アップデートを行ってソフトウェアを最新版にしなければなりません。つまり、システムやソフトウェアが最新版になっていないパソコンが危険なのです。
また、悪用される脆弱性が「ゼロデイ」状態(脆弱性の存在が明らかになったのに、修正の手立てがない状態)なら、状況は深刻です。ソフトウェアが最新版になっていてもウイルスに感染するおそれがあるからです。こうした場合、ソフトウェア開発元が推奨する回避策を実行すると、脆弱性の影響をやわらげることができます。
Gumblar、Gumblar.x、8080のそれぞれで、ウイルスに感染するおそれがあるのはこんなパソコンでした。
<Gumblar>と<Gumblar.x>
・ Microsoft Updateを実行していないパソコン
・ 古いAdobe Readerが入っているパソコン
・ 古いFlash Playerが入っているパソコン
<8080>※2010年1月23日現在の情報です
・ Microsoft Updateを実行していないパソコン
・ 古いJRE(Java Runtime Environment:Java実行環境)が入っているパソコン
・ (1月12日までは)Adobe ReaderのAcrobat JavaScriptを無効にしていないパソコン
・ (1月13日以降は)古いAdobe Readerが入っているパソコン
8080では、GumblarやGumblar.xでは使われていなかったJREの脆弱性が使われています。また、2010年1月12日まではゼロデイ状態だったAdobe Readerの脆弱性も使われています。このため、1月12日までは、Adobe Readerが最新版になっていてもウイルスに感染するおそれがありました。感染を防ぐためには、Adobe ReaderのJavaScriptを無効に設定しておく必要があったのです。この脆弱性は、1月13日に公開されたAdobe Readerの最新版「9.3」で修正されました。
◆Q9
ウイルス感染を防ぐための対策を教えてください。
◇A9
以下のことを実行しましょう。
(1) Microsoft Update(Windows Update)を実行しシステムを最新の状態にする
(2) Adobe Readerを最新版に更新する
(3) Adobe ReaderのAcrobat JavaScriptを無効に設定する
(4) JRE(Java Runtime Environment)を最新版に更新する
(5) Flash Playerを最新版に更新する
(6) QuickTimeを最新版に更新する
Adobe Readerなどのアップデート方法については下記のトピックスを参照してください。(6)のQuickTimeについては、Gumblar、Gumblar.x、ru.8080では悪用が確認されていませんが(2010年1月23日現在)、この機会に最新版に更新しておきましょう。
・ 初心者必読! しないと怖い「プラグイン」アップデートの方法(ネットセキュリティニュースコラム 2009/09)
・ わかりますか? この言葉~「プラグインの更新なんて無理!」という方に(ネットセキュリティニュースコラム 2009/10)
また、IPAが公開している「MyJVNバージョンチェッカ」を利用すると、(2)(4)(5)(6)のインストール状況と、最新版になっているかどうかのチェックを簡単に行うことができます。ただし、Internet Explorer 8からはこのチェッカを利用できません。またJREがインストールされていないパソコンではチェッカを利用できません。(2010年1月23日現在)
◎ MyJVNバージョンチェッカ
http://jvndb.jvn.jp/apis/myjvn/#VCCHECK
(3)の「Adobe ReaderのAcrobat JavaScriptを無効に設定する」という対策についてですが、一般ユーザーならAcrobat JavaScriptを無効にしても、まず差し障りはありません。現状では、一般ユーザーが目にするPDFファイルで、JavaScriptが使われていることはほとんどないからです。必要な時に有効に切り替えるのも簡単なので、無効に設定しておくことをおすすめします。Acrobat JavaScriptを無効にする方法は次の通りです。
(1) Adobe Readerを起動し[編集]メニューの[環境設定]を選択
(2) 「分類」の中の「JavaScript」を選択
(3) 「Acrobat JavaScriptを使用」のチェックをクリア
(4) 「OK」ボタンを押す
◆Q10
改ざんされたサイトを、Q&A 9の対策を行っていないパソコンで閲覧してしまいました。どうしたらいいでしょうか。
◇A10
複数のセキュリティソフトでパソコンをスキャンしましょう。
まず、パソコンにセキュリティ対策ソフトがインストールされているなら、ウイルス定義ファイルを最新の状態に更新して、スキャンを実行してください。その後、以下のオンラインスキャンを実行しましょう。時間はかかりますが、すべてのスキャンを実行してもかまいません。
GumblarやGumblar.xによるウイルス感染なら、現在はほとんどのセキュリティ対策ソフトで検出できます。
これに対し、8080は現在進行形の攻撃です(2010年1月23日現在)。ウイルスがしばしば更新されるので、セキュリティ対策ソフトの対応がなかなか追い付きません。このため、感染の直後だと、ウイルスを検出できない可能性があります。スキャンで反応がなくても、2~3日後に再度スキャンを実行してみてください。
【オンラインスキャンができるサイト】(五十音順)
・ カスペルスキー(2010年1月23日の時点で休止中)
http://www.kaspersky.co.jp/virusscanner
以下のサイトでもカスペルスキーのスキャンを実行可能
http://www.nifty.com/security/vcheck/kav/kavwebscan.html
・ シマンテック(検知のみ)
http://www.symantec.com/region/jp/securitycheck/
・ トレンドマイクロ
http://www.trendflexsecurity.jp/housecall/
・ マカフィー(検知のみ)
http://home.mcafee.com/Downloads/FreeScan.aspx
(執筆:現代フォーラム/北野)