Webサイトを改ざんし、閲覧者をウイルスに感染させるための悪質なコードを仕掛ける、通称「Gumblar」。春に猛威をふるい、その後しばらく静かにしていたGumblarが10月に攻撃活動を再開したことや、春の攻撃と10月以降の攻撃での相違点については、何度かお伝えしてきたところだ。Gumblarによる被害は、現在も拡大し続けている。被害にあわないために、後に挙げる予防策をしっかり実行していただきたい。
最初に、Gumblarについてよく知らない方のために、Gumblarとは何か、どんな攻撃をするのかについて、踏まえておきたい。
■何を「Gumblar」と呼んでいるのか
「Gumblar」という言葉を検索すると多数の情報が見つかるのだが、「何をGumblarと呼んでいるのか」という点を見ると、実はばらばらだ。「Webサイトに意図しないJavaScriptを埋め込む攻撃」としているサイトもあれば、「コンピュータウイルスの一種」「トロイの木馬型のウイルスで、JSRedir-Rとも呼ばれる」としているサイトもある。
編集部では、ウイルス感染につながる一連の攻撃全体を「Gumblar」と呼んでいる。攻撃が成立して、最終的にユーザーのパソコンに入りこむのが、「Daonol」「Kates」「Lando」などと呼ばれているウイルス(トロイの木馬)だ。このことを頭に置いて、以下を読んでいただきたい。
■攻撃の流れ
Daonol/Kates/Landoに感染させることがGumblarの目的だが、攻撃の過程ではいくつかの「道具」が使われる。ウイルス感染に至る流れの順に挙げると、閲覧者を他のサイトに誘導する「リダイレクター」。脆弱性攻撃を仕掛ける“細工されたファイル”を読み込ませる「ローダー」。そして、このローダーが読み込ませる、脆弱性攻撃を仕掛ける“細工されたファイル”(PDFやSWF)を「攻撃コード」と呼ぶ。
サイト閲覧者が最初に遭遇するのは、改ざんされた一般サイトに埋め込まれたリダイレクターだ。これは、閲覧者を別サイトに誘導(リダイレクト)するScriptタグ。ちなみに、春の攻撃の時点では、リダイレクターが埋め込まれたページをセキュリティソフトが「JSRedir-R」などとして検出していた。現在は、春の攻撃と違い誘導先が固定していないため、これを検出するのが難しくなっている。
誘導先のサイトには、攻撃コードを読み込ませるローダーが仕掛けられている。ローダーはJavaScriptで書かれており、「Gumblar.x」などの名前で検出される。このJavaScriptは、ローダーであると同時に、Office WebコンポーネントとIEの脆弱性攻撃を仕掛ける攻撃コードも含んでおり、これらの脆弱性が解消されていないパソコンではここで攻撃が成立し、Daonol/Kates/Landoがダウンロード/実行される。
ローダーの次に出会うのが攻撃コードで、Gumblarの場合は、Adobe Readerの脆弱性攻撃用に開くPDFファイルと、Flash Playerの脆弱性攻撃用に開くSWFファイルを指す。古いバージョンのAdobe ReaderやFlash Playerがパソコン内に存在すると攻撃が成立し、Daonol/Kates/Landoがダウンロード/実行される。
セキュリティソフトは、リダイレクター、ローダー、攻撃コード、Daonol/Kates/Landoのすべてを検出対象とし、感染を防ごうとしている。これらの「道具」とウイルス本体は頻繁に更新されるので、セキュリティソフトは、常に最新の状態で使用しなければならない。
(2009/12/11 ネットセキュリティニュース)