最近の記事

アーカイブ

もっと見る

フィードを購読

個人情報ニュース

セキュリティコラム

編集雑記

2019年2 月

          1 2
3 4 5 6 7 8 9
10 11 12 13 14 15 16
17 18 19 20 21 22 23
24 25 26 27 28    

リンク

  • サイト検索
    Loading
  • 受注のご案内
    セキュリティ意識が高い企業や公的機関、コンテンツプロバイダー様の需要にお応えし、デイリーでセキュリティニュースを配信します。 ご要望のテーマに沿ったニュースの編集、コラムの受注も可能です。 サイトに掲載いただくだけでなく会員の方々へのメール配信も可能です。 詳しくは、弊社ホームページよりお問い合わせください。
  • 現代フォーラム
    現代フォーラムHPへ

ブログのURL


このブログのURLをメールで送信

« ◆[Winny]流出:国交省東北地方整備局 仙台河川国道事務所から行政事務情報(2010/01/12) | メイン | ◆相次ぐサイト改ざん(2) 新たな改ざん告知サイト12~ヤフー、ブックオフ子会社等(2010/01/12) »

2010/01/12

◆相次ぐサイト改ざん(1) 注意が必要なのは「ガンブラー」ではなく「8080」(2010/01/12)

 「サイトが改ざんされたため、閲覧者が『ガンブラー亜種』に感染するおそれがある」という、企業や団体からの発表が相次いでいる。

 9日には、ヤフーが「Yahoo!占い」内の「鏡リュウジの星に願いを」のサイトが改ざんされていたと発表。同日、ブックオフ子会社のリユースプロデュースも、ホームページが改ざんされていたと発表した。

・「鏡リュウジの星に願いを」を閲覧になったお客様へご確認のお願い(ヤフー)
http://fortune.yahoo.co.jp/information/announce/201001091617.html<br>
・リユースプロデュース株式会社ホームページに関する報告とお詫び(リユースプロデュース)
http://www.reuse-produce.co.jp/20100109.html<br>

■「Gumblar亜種」と「ガンブラー」が招く困った事態

 上記のヤフーのリリースとリユースプロデュースのリリースを見ると、両方でウイルス名として「Gumblar(ガンブラー)亜種」という名称が使われている。そのため、両サイトが同じ攻撃により改ざんされたように見えてしまう。ところが実際は、Yahoo!占いのサイトを改ざんした攻撃と、リユースプロデュースのサイトを攻撃した攻撃は別物だ。

 Yahoo!占いの改ざんは2009年10月に攻撃が始まった「Gumblar.x」によるもので、リユースプロデュースの改ざんは、2009年12月から急速に拡大し、現在猛威をふるっている新手の改ざん攻撃によるものである。

 この新手の改ざん攻撃にはまだ特定の名称がついていないが、ロシアのドメインの8080ポート(.ru:8080)を利用することから「8080」「.ru:8080」などと呼ばれている。改ざん箇所に埋め込まれたJavaScriptに「GNU GPL」という文字列が使われていたことから、「GNU GPL」と呼ばれることもある。ここでは仮にこの攻撃を「8080」と呼ぶことにする。

 昨年12月にJR東日本のホームページが8080で改ざんされてから、テレビや新聞などで「ガンブラー」が流行している、という報道を目にすることが多いが、ガンブラーと呼ばれているのは、ほとんどの場合、8080だ。8080も、Gumblar.xも、Gumblar.xよりさらに古い元祖Gumblarもすべてひっくるめてガンブラーとされていることもある。

 そして、これらのことが困った事態を引き起こしている。GumblarやGumblar.xの情報をネットで見つけ、その情報が現在の8080にもそのまま当てはまると思ってしまう人がいるのだ。

 Gumblar、Gumblar.xに対して有効だった予防策は、8080に対しては不十分で、感染を防ぐことができない。また、Gumblarに感染しているかどうかの確認方法は、8080ではまったく役に立たない。この2点に特に注意が必要だ。

■Gumblar.xと8080

 Gumblar.xと8080は、似ている部分もあるが別物だ。まず8080では、Gumblar.xでは使われていなかったAdobe Readerの未修正の脆弱性と、JRE(Java Runtime Environment:Java実行環境)の脆弱性が使われている。このため、Gumblar.x用の予防策では、8080の攻撃を防ぐことができない。

 また、8080とGumblar.xでは、攻撃成立後にパソコンに送り込まれるウイルス本体が異なっている。8080で送り込まれるのはダウンローダーと呼ばれる種類のウイルスで、他のウイルスやスパイウェアなど、不正なプログラムをダウンロードするためのものだ。8080の攻撃が成立した時点でダウンローダーが働き、不正なプログラムがインストールされるのだが、何がインストールされるかが分からないので、非常にやっかいだ。また、ダウンローダーを削除しても、インストールされてしまった不正なプログラムがパソコンに残ってしまうおそれもある。

■Gumblar.xは現在休止状態、8080は現在進行形

 Gumblar.xは、埋め込まれていたリンクや設置されていた攻撃コードが昨年12月18日頃から次々と撤去され、現在は休止状態となっている。サイトに攻撃コードが残っていても、今ならたいていのウイルス対策ソフトがブロックできる。また、すでにウイルス本体に感染していても、定義ファイルを最新の状態にしてスキャンを実行すると多くのウイルス対策ソフトで、検出が可能だ。

 これに対し、8080は現在進行形で、ウイルス対策ソフトの対応がなかなか追い付かない。このため、脆弱性対策が不十分なパソコンでは、ウイルス対策ソフトを導入して最新の状態にしていても感染してしまうおそれがある。また、感染後にスキャンを実行してもウイルスを検出できない可能性がある。

 8080の予防策については、下記の記事にまとめてある。なお、Adobe Readerの最新版が1月13日に公開されるので、Adobe Readerがパソコンに入っている場合は必ずアップデートを実行していただきたい。

(2010/01/12 ネットセキュリティニュース)

投稿情報: 11:06 |

|