一般のWebサイトを改ざんし、閲覧者をウイルスに感染させるための悪質なコードを仕掛ける通称「Gumblar 」。10月中旬に再開後、攻撃コードが無害化してしばらく息を潜めていたが、今月初めから再び攻撃が活発化して感染拡大傾向を見せている。
カスペルスキーは11月16日、Gumblarに酷似したマルウェアを検知し、10月14日から11月16日までに国内の動画サイトやゴルフ関連サイト、神社や空港など1250サイトが改ざん染被害にあったとして、感染予防の対策を実施するよう注意を呼びかけた。
攻撃コードが一時無害化する以前の改ざんでは、春に改ざん被害にあったサイトが多数再改ざんされたほか、既報のオンラインゲーム「フローレンシア」の公式サイトや、中央競馬の「JRAレーシングビュワー」が相次ぎ改ざん。ほかにも、関東美容専門学校(川崎市川崎区)や下鴨神社(京都市左京区)、読売新聞の販売店「読売センター柏豊四季」(千葉県柏市)の公式サイト、モバイルゲームのオンラインショップ「hane」(東京都世田谷区)、および同社が提供するmixiアプリ「トビヲの不思議な洞窟」など多数の国内サイトが被害にあい、未だ閉鎖中のところもある。
攻撃再開後の今月12日には、GMOインターネット(本社:東京都渋谷区)のインターネット・サービス・プロバイダ「InterQ」のメンバーサイトが改ざんされ、システムのエラーページなどに不正なリンクが埋め込まれていることが判明した。配下のサイトの閲覧中にファイルが見つからないなどのエラーが起きると、外部のサーバーに誘導されウイルスに感染するおそれがあった。当該サイトはすでに修復済みだが、攻撃再開後に改ざんあるいは再改ざんされたサイトには、未だ汚染状態のものが多数ある。
短期間で多くのサイトがGumblar攻撃に陥落したのは、これまでにもまして攻撃システムが複雑化して感染力を強めているからだ。Gumblarは、見かけはごく普通のサイトにアクセスしたユーザーが、知らないうちに改ざんされたサイトにリダイレクト(リンク先に誘導)されるのが始まりだ。リダイレクト先のページには、複数のマルウェアが埋め込まれており、ユーザーが使用しているソフトウェアの脆弱性に応じて最も適した、つまり悪質なマルウェアに感染する。その結果、ユーザー自身が管理するサイトのパスワードを盗み取られて改ざんされ、被害者になると同時に二次感染源になる、という具合に連鎖が広がる。
春先や10月中旬のGumblarと比べて現在攻撃中のものは、このリダイレクトが一か所にとどまらず複雑化しており、複数の改ざんサイトにまたがった攻撃を仕掛けてくる。改ざんサイトは一般のWebサイトなので、アクセスするユーザーに警戒心はなく、ブロックすることも難しい。また、攻撃コードやウイルス本体が頻繁に変化しているため、ウイルス対策ソフトの対応が間に合わないケースも多く、感染してもなかなか気が付かない。感染に気づいて復旧作業をしても、処理や対策が不十分であれば、再改ざんや再感染を招き、感染の連鎖を拡大する一因にもなっている。
【被害拡大を防ぐための必須の対策】
Gumblarが脆弱性を突いて感染させ、サイトを乗っ取るという基本構造は変わらない。だからこそ、春から繰り返し呼びかけてきた対策を講じることが被害拡大を防ぐためには必須だ。
すべてのユーザーは、Microsoft Updateを実行してシステムを最新の状態にするとともに、Adobe Reader/Flash Playerを最新版に更新しよう。また、Webサイトの管理者には、ページに見知らぬリンクが埋め込まれていないか、見知らぬPHPファイル(ファイル名は不定)が設置されていないか確認していただきたい。万が一、見つかった場合には、ウイルスに感染していないパソコンを使用してサイトのパスワードを変更。攻撃者の手からサイトを奪取し、再改ざんされないよう備えていただきたい。
(2009/11/18 ネットセキュリティニュース)
■[続報] Gumblar に酷似、新たな脅威発生に警告(カペルスキー)
http://www.kaspersky.co.jp/news?id=207578791
■haneウェブサイトご利用の皆様へ ~ウイルス感染とそれに伴うサイト停止における、お詫びとご報告~(hane inter-active software)
http://www.hane-facon.jp/
■mixiアプリ『トビヲの不思議な洞窟』及びhaneウェブサイトにおけるウイルス感染と、それに伴う関連サイト一時停止のご報告とお詫び(hane)
http://mixi.jp/show_friend.pl?id=24732185