Gumblar(ガンブラー)の被害を受けないためにやっておきたい事
Webサイトの管理者、編集者は特に注意が必要
GUMBLAR(ガンブラー)ウイルスは猛威をふるい続け、昨年の12月から、JR東日本、民主党東京都総支部、本田技研、モロゾフ、ハウス食品、信越放送、ローソン、京王電鉄など大手企業サイトが次々に改ざんされ、被害が拡大しています。
このウィルスは先の不正サイト名が「GUMBLAR」であったことから、その名をとって「GUMBLAR(ガンブラー)ウィルス」と呼ばれています。
GUMBLAR(ガンブラー)ウィルスは、Internet Explorerなどのインターネットブラウザを起動してウェブページを閲覧しただけで感染する可能性があります。「怪しいサイトは見ない」といった心がけレベルの対策では通用しません。このウィルスに感染すると、パソコンが起動しなくなる場合や、個人情報を搾取されるなどの危険性があります。
ただし、Windows Updateの実行や、セキュリティ対策ソフトを最新に保つなど、適切な対応を行っていれば、感染を未然に防ぐことができます。
GUMBLAR(ガンブラー)ウィルスの特徴
GUMBLAR(ガンブラー)ウィルスはAdobe Acrobat Readerや、Adobe Flash Playerの脆弱性を通じて感染するもので、「トロイの木馬ウィルス」に属するウィルスです。GUMBLAR(ガンブラー)ウィルスが新しいのは、このウィルスに感染したウェブページで何らかのリンクをクリックしたり、ファイルをダウンロードしたりしなくても、ただインターネットブラウザを起動してウェブページを開いただけでウィルスに感染してしまうという点です。
GUMBLAR(ガンブラー)ウィルスに感染すると下記のような影響があります。
- Googleの検索結果の書換え
GUMBLAR(ガンブラー)ウィルスに感染したパソコンでは、起動したインターネットブラウザにウィルスが潜み、検索サイトのGoogleの検索結果を操作します。操作された結果には、ウィルス攻撃者が作成したウェブページへのリンクが紛れ込み、さらに別のウィルス感染を誘発しようとします。
- FTPサイト乗っ取り
GUMBLAR(ガンブラー)ウィルスには、FTPサイトへのログイン情報を搾取する機能が含まれています。個人でウェブページを運営している方が、このウィルスに感染したパソコンを使って自分のウェブページを更新しようとすると、FTPサイトへのログイン情報をこのウィルスが不正に取得してしまいます。一度ログイン情報を抜き取ると、個人で管理されているウェブページの情報を書き換え、そのページに同じウィルスを仕込んでしまいます。ウェブページがこのように書き換えられてしまうと、閲覧しに訪れてくれた方のパソコンにもこのウィルスがダウンロードされてしまいます。閲覧しに訪れてくれた方もウェブページを運営していたらというように、GUMBLAR(ガンブラー)ウィルスは感染を広げていきます。
- ボット(BOT)ウィルス化
ボットウィルスとは、悪質な攻撃者がウィルスに感染したコンピュータを遠隔操作できるようにしてしまうプログラムです。ボットウィルスに感染したコンピュータを利用することで、クレジットカード番号などの個人情報を盗まれる恐れがあります。数十〜数百台の感染コンピュータが操られた結果、フィッシング目的のスパムメールの大量送信や、特定ウェブサイトへの大量アクセスによる攻撃(DDoS攻撃とよばれています)などに利用され大変な脅威となります。GUMBLAR(ガンブラー)ウィルスはこのボットウィルスとしての特性も併せ持っています。
現在GUMBLAR(ガンブラー)ウィルスには様々な亜種(派生ウィルス)が生み出され続けていて、上記で上げた特徴以外の機能を持ったものも登場する可能性があります。たとえば、現在GUMBLAR(ガンブラー)ウィルスに感染するOSは、Windowsの2000とXPのみと言われていますが、今後、VistaやMacOSに感染する亜種が出てくる可能瀬は十分にあります。今GUMBLAR(ガンブラー)ウィルスに感染していないからといって、安心するのは危険です。
具体的にどのような症状が出るかというと、PC動作が重くなる、個人情報の漏洩、FTPアカウントが乗っ取られサイトが改竄されるということです。そして、サイトが改竄されるとウイルスをばらまくことになり、また被害が広がってきます。
GUMBLAR(ガンブラー)ウィルスへの対策
GUMBLAR(ガンブラー)ウィルスの対策は他のウィルスと比べて特殊な対応が必要というわけではありません。他のウィルス同様にソフトウェアを最新に保つようにしてください。
- ソフトウェアの最新化
Windows Updateは定期的にやっていると思いますが、そのほかのソフトウェアはどうでしょうか。今回GUMBLAR(ガンブラー)ウィルスの感染経路に利用されたソフトウェア(Adobe Acrobat ReaderやAdobe Flash Playerなど)は、Windows Update では最新のバージョンに更新されることはありません。コンピュータを持っている方が各自最新化の作業を行う必要があるので注意が必要です。また、GUMBLAR(ガンブラー)ウィルスの感染に利用されたソフトウェア以外にも、チャットソフトウェア(MSN MessengerやSkype等)や電子メールソフトウェア(Outlook、Thunderbird等)も脆弱性を持つ可能性がありますので、ご自分が利用しているパソコンにインストールされているソフトウェアは最新に保つように心がけましょう。
「感染しない・させない」ためにも、以下の6つを実施することをお勧めします。
IPAが公開している「MyJVNバージョンチェッカ」を利用すると、Adobe Reader、JRE、Flash Player、QuickTime が最新版かどうか簡単にチェックできる。
MyJVN - MyJVN バージョンチェッカの使い方
https://jvndb.jvn.jp/apis/myjvn/vccheckhelp.html
サポートのあるソフトウェアに更新
ソフトウェアの中には、サポートを行ってくれる期間が限られているものがあります。(Windowsもそのうちの一つです)サポート期間が切れたソフトウェアは、脆弱性を抱えたまま更新されなくなる場合もありますので、こういったソフトウェアの利用は避けることを推奨します。
ウィルス対策ソフトの最新化
ウィルス対策ソフトウェアは、最新のアンチウィルスソフトウェアや、インターネットセキュリティーを利用してください。ウィルス対策ソフトウェアについても、プログラムの最新化を行っていないために、ウィルス感染の手段として利用されてしまうことがあります。パターンファイルやプログラムの最新化を忘れずにおこなうようにしてください。
ファイアーウォールの活用
オンラインゲームや、チャットを行うためにファイアーウォールを無効にしている方もいらっしゃると思いますが、できる限り有効にするようにしてください。ファイアーウォールとは、あなたのパソコンに対する外部からの不正なアクセスや侵入を阻止するためのソフトウェアですが、万が一あなたのパソコンがウィルスに感染した場合に、内部から外部に感染活動を行うような通信を防ぐ役割も持っています。
また、設定するとパソコンを不便にしてしまいますが、セキュリティ対策としてJavaScriptを無効にするなどの対応も有効です。JavaScriptとは、ウェブブラウザ(Internet ExplorerやFireFoxなど。前述のAdobe Acrobat ReaderもこのJavaScriptを動かすことのできるソフトウェアです)上で動作するプログラム言語で、動きのあるウェブページや、入力フォームの自動補完などウェブページの使用感を向上させるために利用されているものです。Google MapやYahooを利用して地図検索を行っている方も多いと思いますが、これらサービスもJavaScriptを使って作成されています。JavaScriptを無効にするとこれらサービスも利用できなくなってしまいます。このような場合など、どうしても見たいウェブページがある場合などに有効にするようにしましょう。
万が一GUMBLAR(ガンブラー)ウィルスに感染してしまったら
万全な対策を行っているつもりでも、ウィルスに感染してしまうことがあります。そのような場合でも慌てずに対応をしましょう。
最初にやるべきことは、感染してしまったパソコンをネットワークから切断することです。LANケーブルをパソコンから抜き(無線で通信をしている場合は、無線LANのスイッチをOFFにする、またはLANカードを抜きます)インターネットにつながらないようにします。GUMBLAR(ガンブラー)ウィルスの特徴にもありましたが、ウィルスに感染してしまった場合、あなたが加害者となって外部のコンピュータに被害を与える可能性があります。
ウェブページの管理を行っている場合は、問題が改善されるまで、ウェブページの閉鎖をするなどの対応も必要です。ウェブページを閲覧したことによってさらに感染を拡大させることを防ぎます。また、ウェブページを閉鎖する際は、トップページのみなど一部のページのみを削除するのではなく、ウェブサイト全体を削除するようにします。
GUMBLAR(ガンブラー)ウィルスに感染してしまった場合は、パソコンを初期化するのが無難です。OSの重要なファイルが書き変わっている可能性があります。ウィルス対策ソフトウェアで駆除できない場合があります。初期化すれば、大切な写真などデータはすべて消えてしまいますが、このような時に備えて定期的に大切なデータのバックアップを取っておくことをお勧めします。
パソコンの初期化が終わったら、GUMBLAR(ガンブラー)ウィルスの対策にあるようにソフトウェアの最新化などの対策を行います。また、感染してしまったパソコンで利用していた情報は盗まれている可能性がありますので、メールや、運営しているウェブページのFTPサイトなどパスワード管理されているものをすべて変更します。
ウェブページの運営者は、閲覧者に向けて管理人がウィルスに感染してしまったことを報告し、二次被害を防ぐことも重要です。
Gumblar(ガンブラー) ウイルスに関する情報 - ITNAVI.net
・Gumblar.x と 8080系 は攻撃する脆弱性が違う
・8080系はAdobe Reader と Java JRE の脆弱性を突く
・8080系は日本をターゲットとしているようだ
・Gumblar.xでも8080でもない、まったく別の種類の改ざんが行われていたケースも見つかっている
・「9.3」では、8080で悪用されている脆弱性が修正されているほか、これとは別の深刻な脆弱性も複数修正されている
・Adobe Reader の脆弱性はサイト改ざん攻撃だけでなく、細工したPDFファイルをメールに添付して送りつけるといった形でも悪用されている
・亜種が登場するスピードが速いため、パターンファイル方式での検知および駆除が難しくなっている
・しかも感染の検出は極めて困難である
・サイト管理者はFTPサーバにアクセスできるIPアドレスを制限するべき。アクセス制限がかけられない場合はSFTPやSCPの利用を検討したい。
・Windows のスタートアップに「siszyd32.exe」や「TMD.tmp」「TM6.tmp」を登録されていたら、感染している可能性が高い(msconfigで確認できる)
ウイルス対策ソフト比較特集
感染被害に遭わないためにやっておきたい事
ウイルス対策ソフト 購入した後で
GUMBLAR(ガンブラー)ウイルスにご注意
|
