ガンブラーで総称されるGumblarおよび8080系のサイト改ざんは、ウイルスに感染したパソコンからWebサイトの更新に使うFTPアカウントを盗み取り、それを使って感染者が管理していたWebサイトを改ざんする。改ざん時にウイルスに感染させるための不正なコードを埋め込み、さらに感染を広げようとする。この感染と改ざんの負の連鎖は、次の3つの対策で完全に消し去ることができる。
【1】感染防止策:すべてのユーザーの方に
すべてのユーザーにとって最も重要なのは、改ざんサイトを閲覧してもウイルスに感染しないようにすることだ。
Webを使ったウイルス感染では、ユーザーをだましてユーザー自身にウイルス本体を実行させる方法もあるが、Gumblar/8080系を含むサイト改ざんの多くは、ブラウザやプラグインの脆弱性を悪用し、用意したウイルス本体を自動的にインストールする。サイトを閲覧しただけで、知らない間に勝手にプログラムがインストールされてしまう「ドライブバイダウンロード」という手法だ。現時点で悪用されている脆弱性は、いずれも修正済みのものなので、OSやソフトウェアを最新の状態にしておくと、攻撃者が仕掛けるドライブバイダウンロード攻撃が機能しなくなる。
このユーザー自身が行う感染防止対策については、下記の「ネットセキュリティニューストピックス」最新号に詳しくまとめてある。無料で実施でき、すべて行えばGumblar/8080系の改ざんサイトを閲覧しても、現時点ではウイルスに感染しない強力な感染防止策だ。細かな対策はほかにもいろいろあるが、最低限これだけは確実に実施していただきたい。ウイルスに感染しなければ、Gumblar/8080系の憂鬱からは解放。サイトが改ざんされたり、閲覧者に感染を広げる心配もなくなる。
【2】拡散防止策:サイトの管理者の方に
Webサイトの管理者の方は、サイトが改ざんされたり、パソコンのウイルス感染が判明した場合には、感染が広がらないよう速やかにサイトを一時閉鎖し、サイトとパソコンのクリーンアップを実施していただきたい。改ざん中のサイトを閲覧してしまった人は、知らない間にウイルスに感染してしているかもしれない。ウイルス感染の可能性があったページや期間を告知し、ウイルススキャンなどを実施するよう呼び掛けることも必須となる。
【3】改ざん防止策:サイトの管理者の方に
サイトの改ざんは、Webサイトの更新に使用していたFTPアカウントを使って行われている。いくらサイトを修復しても、盗み取られたパスワードをそのまま使用していたら、再びサイトを改ざんされてしまう。再改ざんされないよう、必ずFTPのパスワードを変更しておかなくてはならない。感染パソコンを使ってしまうと、いくらパスワードを変更しても、また盗み取られてしまうので、必ずウイルスに感染していないクリーンなパソコンを使用して行っていただきたい。
(2010/05/31 ネットセキュリティニュース)