Gumblar

Gumblar(ガンブラー)は、2009 年から継続して情報処理推進機構(IPA) から(Gumblar攻撃に対して改めて注意が呼びかけられていま す。特にWebサイトを管理・運用する立場の人にとっては、Gumblarへ の対策が必要です。それだけではなく、自分は管理者じゃないと思ってい ても blog などをやっている場合はそのページを管理しているわけで、被 害者→加害者、となる可能性があります。さらに、一般ユーザも、攻撃方 法を理解しておくことで、被害者となるのを防ぐことができるはずです。
気をつけておきたいのは、一口にGumblarといっても、その種類は様々で、 Gumblarという言葉は、「Webサイト改竄」とWebサイトを閲覧するだけで 感染する「Web感染型ウイルス」とを組み合わせて感染を広げていく攻撃 手法のことを指すと考えるべきでしょう。

ガンブラー攻撃では、まずWebサイトの管理者から管理用のパスワー ド(主にFTPパスワード)を奪取することを主要な目的としています。 そして、入手したパスワードを使って正規のWebサイトを改竄し、 ウイルスを感染させる罠を仕込んでおき、そのWebサイトにアクセス してきたユーザに対して、攻撃者が用意した(そのサイトとは 別の)不正なサイトからウイルスをダウンロードさせます。

ユーザのパソコンにダウンロードされたウイルスは、そのパソコン上の ソフトウエアにある脆弱性を悪用してパソコンへの侵入を試み ます。脆弱性の残っているソフトウェアを使っていると、送り込まれたウ イルスに感染してしまいます。当初は Adobe Acrobat / Reader の脆弱性 が徹底的に狙われていましたが、他の脆弱性をつくものもあるようです。 そして、もし感染したパソコンがWebサイトの管理などに使われていると、 次にそのパソコンがFTPで通信しようとするのを盗み見て新しいパス ワードを盗み出し、そのパソコンの管理対象とするWebサイトにまた 別の新たな罠を仕掛けるというふうに、連鎖的に感染を拡大していきます。

パソコンを使っているユーザからは不正なサイトにアクセスしたことがまっ たくわからず、改竄されたサイトにアクセスしているうちに、いつの間にかウ イルスに感染してしまうことになります。しかも、有名企業のWebサイトでもい つ改竄されているかわからないので「不審なWebサイトを閲覧しない」といった 原則が通用しません。

パソコンが最終的に感染させられるウイルスは実に多様で、どのウイルスを仕 込むかは攻撃者が自由に選べるので、どのようなウイルスに感染させられるか もわかりません。攻撃される脆弱性も、それによる被害もいろいろで、アカウ ント情報を盗むものだけでなく、セキュリティソフトに見せかけて購入させよ うとする偽の詐欺ソフトなどあるようです。パソコンを乗っ取るウイルス(ボッ ト)や、オンラインバンキングやオンラインゲームなどのアカウント情報を盗 むウイルスに感染させられる危険性もあります。

対策

http://blog.f-secure.jp/archives/50334036.html よりの抜粋です。

Q. OSだけでなくすべてのソフトウェアを最新版にアップデートしておけば大 丈夫ですか?
A. 違います。最新版でも攻撃を受ける可能性があります。未パッチのAdobe Reader/Acrobatの脆弱性を攻撃するものも出回りましたので、対策としては Adobe Reader/AcrobatのJavaScriptを無効にする必要があります。修正版ソフ トウェアは2010年1月12日(日本時間だと13 日)に出る予定です。ただし、今後 も同種の脆弱性が発見され、修正版がなかなか出ない可能性もありますので、 数年間はAdobeのJavaScriptは無効のままにしておいたほうがいいと思います。

Q. GumblarとはGENOウイルスの別名ですか、亜種ですか?
A.  細かく言うと現在Gumblarと呼ばれているものはGumblar.xのこと です。亜種の定義がよくわかりませんが、攻撃する脆弱性も違いますし、作成 されるファイルも、対策も違いますので別物と考えたほうがいいでしょう。

Q. FTPサーバにアクセスできるIPアドレスを制限しておけば大丈夫ですか?
A. 半分は大丈夫ですが、半分は防ぎきれません。防げないケースとして、サ イト管理者のマシンが乗っ取られてFTPサーバに侵入されるというのがあります。

Q. FTPのパスワードを変更すれば大丈夫ですか?
A. 新しいパスワードでログインするときに再び盗まれます。まず、現在感染 していないかを確認してください。

Q.  プライベートアドレスを使っていれば、バックドアには入られません か? または、ファイヤーウォールで内向きの通信を遮断しておけば大丈夫で すか?
A.  違います。バックドアへの命令は外向きの通信のレスポンスの中に書 かれているものもありますので、インターネットにアクセスできる環境であれ ばバックドアの脅威があります。

Q. バックドアで何をされるのですか?
A. 任意のコマンドを実行できるようになっていますので、被害者のコン ピュータから情報を盗んだり、攻撃の踏み台に使われたりする可能性がありま す。

Q.  更新料のかかるウイルス対策ソフトを使っていれば大丈夫ですか?
A. 残念ながら違います。亜種が出てからウイルス対策ソフトが対応する までに少し時間がかかりますので、その間を狙われます。

Q. 一度ウイルスを検知した気がしたのですが、もう一度アクセスすると検 知しませんでした。最初のは気のせいですか?
A. 違います、一度目はウイルスを検知している可能性があります。 Gumblarは解析されるのを防ぐため、一度ダウンロードされたIPアドレスからは 二度とダウンロードできないようになります。最初のアクセスの時にウイルス がダウンロードされたので、二度目のアクセスの時にはダウンロードされなかっ たのだと思われます。ちなみにこのような耐解析機能を持つのはGumblarだけと いうわけではありません。

Q. 安物のウイルス対策ソフトのほうが検出率がいいような気がするのですが?
A. 上記の耐解析機能によりウイルスがダウンロードされなかった場合、 ウイルス対策ソフトでは検知しないことがあります。(というより、何もダウ ンロードされてないのですから検知しないのは当然です。)しかし、Webページ には変なJavaScriptが埋め込まれていますのでそれを検知するウイルス対策ソ フトもあります。一般的にいうと誤検知ですね。ただ、Webサイト管理者として は変なJavaScriptを検知してくれたほうがうれしいという複雑な状況になって います。

Q. Webサイトが安全かどうかをチェックしてくれるサイトを使って調べれ ば大丈夫ですか?
A. これも上記の耐解析機能により、チェック元のIPアドレスからはすで にダウンロードできなくなっている可能性が高いです。つまり、ある環境から 見て安全だったからといって、別の環境から見ても安全だとは限りません。

Q.  ライセンスがGNU GPLからLGPLに変わったそうですが、具体的には何が変わるのですか?
A. 何も変わりませんので、無視してください。ただ、LGPLだと検知でき ないウイルス対策ソフトもあるみたいです。

Q. 結局どうすればいいんですか?
A. まず、感染していないかを確認してください。 その後は、

ということになります。

講義用スタイル
印刷用スタイル