最近の記事

アーカイブ

もっと見る

フィードを購読

個人情報ニュース

セキュリティコラム

編集雑記

2019年2 月

          1 2
3 4 5 6 7 8 9
10 11 12 13 14 15 16
17 18 19 20 21 22 23
24 25 26 27 28    

リンク

  • サイト検索
    Loading
  • 受注のご案内
    セキュリティ意識が高い企業や公的機関、コンテンツプロバイダー様の需要にお応えし、デイリーでセキュリティニュースを配信します。 ご要望のテーマに沿ったニュースの編集、コラムの受注も可能です。 サイトに掲載いただくだけでなく会員の方々へのメール配信も可能です。 詳しくは、弊社ホームページよりお問い合わせください。
  • 現代フォーラム
    現代フォーラムHPへ

ブログのURL


このブログのURLをメールで送信

« ◆ミクシィ、18歳未満ユーザーの保護強化~背景に「非出会い系」トラブル急増(2009/10/23) | メイン | ◆Gumblar再襲来(2) 「攻撃サイト」も一般サイト/カスペルスキーが確認と警告(2009/10/26) »

2009/10/26

◆Gumblar再襲来(1) 国内サイトも多数改ざん~以前の改ざんサイトが再改ざん(2009/10/26)

  ウイルスに感染したパソコンから、Webサイト更新用のFTPアカウントを盗み出し、ユーザーが管理するWebサイトを改ざん。閲覧者に次々とウイルス感染を広げ、新たな改ざんサイトを生み出していった通称「Gumblar」。昨日まで安全だったはずのサイトで、まさかのウイルス感染を引き起こしたあの恐怖が、再び国内に押し寄せている。

 改ざんサイトによる攻撃には、Adobe ReaderやFlash Playerなどの既知の脆弱性が悪用されており、未修整の状態ではサイトを閲覧しただけでウイルスに感染してしまう。月例のMicrosoft アップデートは、ちゃんと実施しているだろうか。Adobe ReaderとFlash Playerは最新版になっているだろうか。

 今回のウイルス感染では、改ざんサイトからの攻撃のほかに、メールに添付されたウイルスがダウンロードしてくるケースも報告されており、添付ファイルの取り扱いについても、これまで以上に注意を払っていただきたい。

■5月に消息を絶ったGumblar

 3月から予兆のあったGumblarが、国内に浸食を始めたのは4月初旬。改ざんサイトには、「94.247.2.195(zlkon.lv)」に設置したJavaScriptを実行するための不正なリンクが埋め込まれ、Adobe ReaderやFlash Playerの脆弱性を悪用し、閲覧者のパソコンにトロイの木馬をインストールしようとする攻撃が多発しはじめた。

 インストールされたトロイの木馬は、感染パソコンの通信を監視してFTPアカウントを盗み出し、攻撃者はそれを使って新たなサイトを改ざんするという手法で、サイトの改ざんとウイルス感染を拡大。4月下旬には攻撃サイトを「gumblar.cn」に移し、ゴールデンウィークに重なったこの時期に、国内の被害が一気に拡大。政府機関や自治体、企業の公式サイトなどをはじめ、同人誌や個人サイトにいたるまで、多数のWebサイトが被害を受け、新たな感染者を生み出していった。

 5月半ばには、攻撃サイトが「gumblar.cn」から「martuz.cn」に移動。対処していなかったサイトは再び改ざんされ、誘導先を新たな攻撃サイトに向けたリンクが埋め込まれた。「martuz.cn」での攻撃は、僅か5日間で終了。編集部が当該サイトの閉鎖を確認した5月20日以降も似たような攻撃は続いたが、Gumblarの被害を受けたサイトが再び改ざんされることはなかった。多数のFTPアカウントを盗み出したはずのGumblarは、それきりぷっつりと消息を絶ったのだった。

■かつての改ざんサイトが再改ざん、Gumblar再襲来(2009/10/26)

 早くからGumblarに関する有用な情報を提供し続けていたScanSafeが、今月15日付けの公式ブログでGumblarの再始動を告げた。当時の改ざんサイトが、再び攻撃を始めたというのだ。

 編集部でも半年前の記録を元に再調査を実施したところ、かつての改ざんサイト79サイト中13サイト(16.5%)が再び改ざんされ、不正なリンクが埋め込まれていることが確認された。編集部の調査対象は、4月~5月にZlkon/Gumblar/Martuzの誘導リンクが埋め込まれた国内の企業などの公式サイトで、同人誌や個人のサイトを除外したもの。5月末までには、数サイトを残してほぼ全てが復旧していたはずだった。

 同様の調査を行った23日付のセキュアブレインの報告では、299サイト中124サイト(41.5%)が再改ざんと、非常に高い再改ざん率を示している。同社の調査対象は不明だが、元となる改ざんサイトの調査報告が6月12日付けであることから、攻撃終了後に放置されていたサイトが主な対象になっているものとみられ、その辺が高い再改ざん率につながっているものとみられる。いずれにせよ、かつての改ざんサイトを足がかりに、新たなウイルス感染を広げようとしていることは確かだ。

 編集部が確認した最も古い改ざんページのタイムスタンプは、10月12日未明。IBM ISSのセキュリティー・オペレーション・センターや同社のセキュリティー研究機関X-Forceからも、この頃からの攻撃急増が報告されている。

(2009/10/26 ネットセキュリティニュース)

・Gumblar Website Botnet?Awakes[英文](ScanSafe STAT Blog)
http://blog.scansafe.com/journal/2009/10/15/gumblar-website-botnet-awakes.html
・Adobe Reader / Acrobatを狙う攻撃が急増【Tokyo SOC Report】(IBM)
http://www.ibm.com/services/jp/index.wss/consultantpov/secpriv/b1333840?cntxt=a1010214
・Adobe Reader / Acrobatを狙う攻撃が急増(続報)【Tokyo SOC Report】(IBM)
http://www.ibm.com/services/jp/index.wss/consultantpov/secpriv/b1333854?cntxt=a1010214#0
・セキュアブレインが、「Gumblarウイルス」と類似した新たな攻撃手法を確認(セキュアブレイン)
http://www.securebrain.co.jp/about/news/2009/10/gred-gumbler.html

投稿情報: 16:25 |

|