一般のWebサイトを改ざんし、閲覧者をウイルスに感染させるための悪質なコードを仕掛ける通称「Gumblar」が、再び攻撃を開始した。
先月、突如として始まった攻撃では、国内のWebサイトも多数改ざん被害を受け、閲覧者のパソコンに、「Daonol」「Kates」などと呼ばれている、パスワードを盗み取るトロイの木馬をインストール。その結果、パソコンが起動しなくなってしまうという弊害が発生し、各社のサポート窓口に問い合わせが殺到する事態になった。
今回のGumblarの攻撃は、一般のWebサイトを改ざんし、攻撃サイトに仕掛けた攻撃コードを実行させるリンクを埋め込む。攻撃コードを仕掛けた攻撃サイトもまた、改ざんされた一般のWebサイトが使われているのだが、攻撃開始から後約2週間ほどで、攻撃を停止していた。先月末に仕掛けられていた攻撃コードが一斉に書き換えられ、アクセスしても攻撃しない無害な状態になっていたのだ。ところがそれが、昨日あたりから再び攻撃コードに書き換えられ、攻撃を再開した。ただし、従来のリンク先がそのまま攻撃コードに書き換えられたわけではなく、リンク先から、新たに攻撃コードを仕掛けた別のサイトへとリダイレクトするようになっている。
【VirusTotalのチェック結果:11月5日時点】 新しく仕掛けられた攻撃コードは、今のところAdobe Reader、Flash Player、Office Webコンポーネント、Internet Exploreといった、これまで通りの修正済みの脆弱性を悪用し、未修整のパソコンにトロイの木馬を自動的にインストールしようとする。最初に実行させられる難読化されたこの攻撃コードは、以前の攻撃では「Gumblar.x」などの名前で検出されていたが、新たな攻撃コードをVirusTotalでチェックしたところ、41のウイルス対策ソフト全てが検出できない状態だった。
攻撃コードが無害なものに書き換えられた直後の先月29日、編集部で61の攻撃サイト調べたところ、Gumblar.xの攻撃コード4件、無害化されたコード36件、サイト側で削除19件、空の中身1件、接続できないサーバー1件だった。5日時点で再調査を実施したところ、サイト側で削除が19件から14件に減り、他の47件は何らかの改ざん状態にあった。攻撃コードを除去したはずのサイトも、再改ざんを受けて復活しているのだ。
改ざんサイトの内訳は、攻撃コード設置5件、無害化された攻撃コードのまま1件、別のサイトにリダイレクト41件。リダイレクトされた41件のうち、5件はリダイレクト先が削除済みになっており、攻撃コードは36件だった。合計すると、61件中4件だった攻撃コードが41件まで復帰したことになる。
【脆弱性攻撃再開に備えて】
Gumblarは、修正されているはずの既知の脆弱性を悪用した攻撃を仕掛ける。現時点では、Microsoft Update(Windows Update)を実行し、Adobe Reader/Flash Playerを最新版に更新しておけば、たとえ改ざんされたサイトを閲覧しても、トロイの木馬が自動的にインストールされることはない。全てのユーザーは、再開した攻撃に備えて、システムや使用しているソフトウェア、プラグインを最新の状態にしていただきたい。
Gumblarがインストールするトロイの木馬は、サイトの更新に使用するアカウントを盗み取り、それを使って新たな改ざん被害を広げている。自分のサイトに見知らぬリンクが埋め込まれたり、見知らぬPHPファイル(ファイル名は不定)が設置されていた場合には、ウイルス感染によって管理アカウントが盗まれている可能性があるのだ。 身に覚えのある方は、サイトを復旧だけでなく、ウイルスに感染していないパソコンを使用し、サイトのパスワードを変更していただきたい。サイトが乗っ取られたままでは、何度サイトを修復しても、また改ざんされてしまう。
(2009/11/06 ネットセキュリティニュース)