わからん!Gumblar攻撃はボットネット化が狙い? フォーティネットが解説

スポンサーリンク

最近、ネットのニュースで、Gumblarのニュースをよく見かけます。

一体何なの?

正直なところ、よくわかりません。

ま〜、ウイルスでしょう。

と、知らないくせに、いい加減なことを書いてしまいました。

ついでだから、ちょこっと、Gumblarについて調べました。

Gumblarウイルスとは

 Gumblarウイルスとは,改ざんされたWebページを見ただけで感染するウイルスの一種である。感染したパソコンは,ファイル転送に用いるFTP (file transfer protocol)のIDとパスワードなどが盗まれる恐れがある。日本では,Webサイトを改ざんされた通販ショップの名称をとってGENOウイルスと呼ばれることも多い。

 現在確認されているGumblarウイルスの動きを見ると,多少の違いはあるものの,基本的な動作は共通している。まず攻撃者は何らかの手段で盗んだFTPサーバーのアカウントを用いて,Webサイトに不正なJavaScriptを埋め込む。こうして改ざんされたWebページを閲覧すると,不正な JavaScriptによって攻撃用のサーバーにリダイレクトされる。

 攻撃用サーバーは,閲覧者のパソコンに不正なPDFファイルやFlashコンテンツを送り込み,米アドビシステムズのAdobe ReaderやAdobe Flash Playerのぜい弱性を利用して不正なコードを実行させる。するとキー入力や通信を監視するウイルスが攻撃用のサーバーからダウンロードされ,FTPの IDやパスワードなどが攻撃者に送られてしまう。

 Gumblarウイルスの特徴は大きく三つある。一つは,発見を遅らせる細工がしてあること。不正なJavaScriptが見つかりにくいよう, Webページのソースコードの中央付近に挿入されていたり,一見しただけではどんな動作をするのかが読み取れないように難読化が施されている。また実行後に自分自身を削除するため,感染後にパソコンをスキャンしても見つからないケースがある。

 二つめは,対策が難しいこと。ダウンロードされるウイルスの種類がすぐに変わるので,ウイルス対策ソフトの対応が追いつかないことがある。しかもアップデートの習慣が浸透してきているOSとは違い,あまりアップデートされないアプリケーション・ソフトが狙われているため,ユーザーの対策が遅れがちだ。

 三つめは,無差別に攻撃されること。改ざんされたWebサイトは大規模なWebサイトに限らず,個人のブログなど小規模なものにも及んでいる。ユーザーの対策として最も重要なのは,Adobe ReaderやAdobe Flash Playerなどのバージョンを最新のものに更新することだ。もし感染している疑いがあるときは,ハードディスクをフォーマットしてOSを再インストールし,パスワードをすべて変更するのが望ましい。
http://itpro.nikkeibp.co.jp/article/Keyword/20090825/335985/

やっぱり、ウイルスのようです。

上記の説明ですが、私は全部読んでいません。

ウイルスの一種ってところまで読みました。

後にもいろいろかいてありますが、要約するのが面倒なので、ページそのままコピペ。

ウイルスってことで充分です。

今までにも、いろいろなウイルスがありました。

でも、今回のガンプラーが特に気になる。

なぜ?

その被害の大きさ?

手口?

いえ違います。

たぶん・・・

改めて考えました。

話は変わりまして、昔、昔、ガンダムのプラモデルがはやりました。

あの頃は、すごいブームでした。

今でもよく覚えています。

おっと、何の話だったかな〜

そうそう、ウイルスの話。

そう、ガンプラーの話でしたね〜

ガンプラー。

ガンダムのプラモデル。

何か似ている。

ただそれだけの理由でした。

さて、このガンプラーの対策ですが、いろいろあるようです。

ちょっとみてみると・・・

Adobe Readerのジャバスクリプトをオフにするとか。

よくわからんが、ためしてみるか〜

えーと、Adobe Readerの・・・

うん?私のパソコンには、Adobe Readerが入っていません。

それに、OSがLinuxです。

う〜ん、どうすればいいのかな?

Gumblar攻撃はボットネット化が狙い? フォーティネットが解説

 フォーティネットジャパンは1月15日、国内で多発するWebサイト改ざんとマルウェア感染を狙う「Gumblar」型攻撃についてアドバイザリーを公開した。サイト改ざんにつながるパスワード盗難などへの対策を説明している。

 同社によると、これまで国内でGumblar型攻撃の被害に遭ったのは3500サイト以上。Gumblar型攻撃では、何らかの方法でWebサイト内に悪質サイトへのリンクが埋め込まれ、Webブラウザなどを通じて閲覧者のコンピュータに幾つものマルウェアがダウンロードされる。一部のマルウェアは Webサイト管理用のFTPアカウントを盗聴して、外部のサーバなどへ送信。攻撃者は入手したFTPアカウントで別のWebサイトを改ざんする行為を繰り返しているとみられる。

 マルウェアに感染したコンピュータでは、このほかにもボットネットを通じて外部の攻撃者と通信や不正操作するような活動が確認されたという。フォーティネットは、Gumblar型攻撃が多数のコンピュータをボットネットの配下にする狙いで仕掛けられた可能性もあると指摘する。

 同社では、Gumblar型攻撃によるWebサイトの改ざんを防ぐためには、管理用パスワードを盗まれないようにすることが重要だとして、以下の方法を紹介している。

1. パスワードをプレーンテキストで保存しない

2. FTPなどプレーンテキストを使用する通信プロトコルの使用をせず、FTPS、FTPESまたはSFTPを使用する

3. 更新済みのウイルス対策ソフトを使う

4. すべてのソフト、特にブラウザとプラグインに最新のパッチを適用する

5. 作業終了後は必ずサーバからログアウトし、ログオン中はサーバから物理的に離れないこと

6. ネットワークにはゲートウェイセキュリティが施されていることを確認する

7. 信頼できないWebサイトまたは人員にはパスワードを通知しない

Gumblar攻撃はボットネット化が狙い? フォーティネットが解説(ITmedia エンタープライズ) – Yahoo!ニュース

コメント

タイトルとURLをコピーしました