「Gumblar.x」も「8080」も、改ざんサイトを訪問したユーザーに脆弱性攻撃を仕掛け、トロイの木馬を自動実行しようとする。欠陥のあるソフトウェアが、ユーザーになり代わってウイルスをダウンロード/実行してしまうのだ。そんな欠陥ソフトの勝手な振る舞いは、攻撃を受けるソフトウェアの問題点を解消するだけで止めさせることができる。
攻撃に悪用されている脆弱性は限られており、いずれも現時点では修正済みのものばかりなので、以下を実施しておけば、Gumblar.xや8080の改ざんサイトを閲覧してもウイルスには感染しないのだ。
(1)Microsoft Update(Windows Update)を実行しシステムを最新の状態にする
(2) JRE(Java Runtime Environment)を最新版に更新する
(3)Adobe Readerを最新版に更新する
(4) Flash Playerを最新版に更新する
(5) QuickTimeを最新版に更新する
(6) Adobe ReaderのAcrobat JavaScriptを無効に設定する
(1)~(3)はGumblar.x/8080共通の、(4)はGumblar.xの攻撃対象で、現行のGumblar.xに以前は含まれていなかったJREの攻撃が加わっている点が新しい。(5)は、現行の攻撃には含まれないが悪用されることが多いソフトなので、インストールされている方は、常に最新版を使うように心掛けていただきたい。これらソフトウェアのインストール状況と最新版かどうかのチェックは、下記の「MyJVNバージョンチェッカ」を使用すると、簡単にチェックすることができる。
(6)は、昨年末に8080の攻撃にAdobe Readerの未修整の脆弱性が悪用された、いわゆるゼロデイ攻撃の回避策として提示したもの。悪用された脆弱性は、すでに最新版で修正されているが、一般の方が閲覧するPDFファイルでJavaScriptが必要となることはほとんどないので、無効のままにしておいた方が安全だ。AcrobatのJavaScriptを無効にする方法は以下の通り。
(1)Adobe Readerを起動し[編集]メニューの[環境設定]を選択
(2)「分類」の中の「JavaScript」を選択
(3)「Acrobat JavaScriptを使用」のチェックをクリア
(4)「OK」ボタンを押す
これらは、ウイルス感染を防ぐための基本対策の一部に過ぎないのだが、たったこれだけで、現行のGumblar.x/8080のウイルス感染を100%防ぐことができる。これは、この数か月間変わらぬ内容なのだが、実施していない方が多いというのが実情のようだ。IBMが今月17日に公開した「2009年下半期 Tokyo SOC 情報分析レポート」によると、Gumblar.xの攻撃を受けた日本の企業ユーザーの51%で攻撃が成功してしまい、ウィルスのダウンロードが発生したという。
(2010/02/25 ネットセキュリティニュース)
■MyJVNバージョンチェッカ
http://jvndb.jvn.jp/apis/myjvn/
■2009年下半期 Tokyo SOC 情報分析レポート(IBM)
http://www.ibm.com/services/jp/index.wss/consultantpov/secpriv/b1334109