ウイルスに感染したパソコンから、Webサイト更新用のFTPアカウントを盗み出し、次々にサイトを改ざんしていった通称Gumblar。4月初旬に埋め込まれた94.247.2.195(zlkon.lv)への誘導リンクに始まり、ゴールデンウィークの時期に重なったgumblar.cnへの誘導で一気に拡大した国内サイトの改ざんは、5月半ばに攻撃サイトをmartuz.cnに移した後、わずか5日で攻撃を終えた。
東京にあるIBMの監視センター(SOC)の報告によれば、zlkon.lvの攻撃は3月下旬から始まっており、4月下旬までの約1か月間にわたり同サイトで攻撃を続けた。続くgumblar.cnが約20日間、martuz.cnは5日と、騒ぎの拡大に呼応するように、攻撃サイトの存続期間は短くなっている。攻撃サイトの閉鎖が自主的なものだったのか強制退去だったのかは定かではないが、いずれにせよ、目立ちすぎは密かな攻撃継続を困難にする要因だったに違いない。gumblar.cnの閉鎖時期は、ソフォスやシマンテックの最初の警告に重なり、完全撤退時にはセキュリティ各社や機関、メディアが一斉に伝えるほどにまでなっていたのは、決して偶然ではないだろう。
●多数のドメインを使うサイト改ざんが継続
特定のドメインを使った大規模なサイト改ざんは、一連の攻撃を最後に見られなくなったが、不正なリンクを埋め込むサイト改ざん自体はまだ終息していない。多数のドメインを使ったタイプの複数の攻撃が今もなお続いており、予断を許さない状態だ。
サイトに埋め込まれるコードは難読化が進み、リダイレクトを繰り返したりアクセス制御を行ったりと、隠ぺい工作にも一段と拍車がかかっている。もちろん、攻撃コードやウイルス本体は頻繁に更新されており、これまで以上にたちが悪い。ひょっとするとGumblarの攻撃者たちも、この中のひとつに紛れているのかもしれない。
攻撃にはいろいろなパターンがあるが、いずれもAdobe ReaderやFlashPlayerなどの既知の脆弱性を突いて、閲覧者のパソコンにウイルスを自動的にインストールしようとする。今のところ未知の脆弱性攻撃はないようなので、これらのプラグインやシステムを最新の状態にしていれば感染のおそれはない。利用する方が多く狙われやすいプラグインのアップデートについては、下記のトピックスにまとめてあるので参照していただきたい。
(2009/07/02 ネットセキュリティニュース)
【参考サイト】・継続している Iframe 挿入によるWebサイト改ざん(IBM)
http://www-935.ibm.com/services/jp/index.wss/consultantpov/secpriv/b1332868