今月のニュースに見るセキュリティ最新動向

MyJVN バージョンチェッカは、利用者のPCにインストールされているソフトウェア製品のバージョンが最新であるかを、簡単な操作で確認するツールです。

基本的なガンブラー対策は、Windows Updateを行いOSを最新の状態にすること、Adobe Reader やJRE等のアプリケーションをアップデートすること、ウイルス対策ソフトを使用することだ。これにくわえ、ファイル転送のリスクに対する対策>、そして、万が一感染してしまった場合に感染を拡大させない対策がウェブサイト管理者が取るべき対応となる。

ホームページからの感染を防ぐためには、この３つの対策以外に次の「１，ホームページ閲覧者の感染防止方法」に記載するプログラムを最新に保つことが必要です。 また、ホームページを持っていらっしゃる方は、「２，ホームページ開設者の対処方法」を参考にウイルスへのリンクを改ざんされ埋め込まれていないかの確認を行い、改ざんされていた場合は手順に従い復旧を行ってください。

「ガンブラー」では、近年インターネットで悪用されている様々な攻撃手法が組み合わされているため、これらへの対策を行うことで、「ガンブラー」以外の脅威に対しても有効な防御策となります。インターネットを利用している全ての人に危険が生じていることを認識し、十分な対策を行いましょう。

通信を傍受するタイプのマルウェアに対しては、FTPパスワードが抜き取られるおそれが依然として残っている。これはFTPプロトコルの制限によるもので、本ソフトの更新だけで対応するには限界がある。ユーザー側も引き続き、各種アップデートパッチの確実な適用やウイルス対策ソフトの導入を怠らないといったマルウェアへの対策が必要だ。もし接続先のFTPサーバーがSSLなどに対応している場合は、SSL接続対応のFTPクライアントへ移行するなどといった対策も検討してほしい。

ガンブラー（Gumblar）の猛威が止まらない。2009年の春に世界中で大感染をしたのちに、一時下火となったウイルスだが、2009年末から2010年にかけて国内大手企業のWebサイトを相次いで改ざんするなど、再び深刻な事態となっている。このガンブラーとはどのようなウイルスで、どのような被害を出しているのか。報道各社のニュース記事やセキュリティベンダーの解説サイト、さらにASCII.jpに掲載されたこれまでの記事を振り返りながら紹介していこう。

Security Toolというマルウェアをとりあえず動かなくするためのメモ。 ただこの記事を書いている時には8080系が感染の原因だとはハッキリ分かっていなかった。 →じゃあ試しに感染してみよう！ 　→仮想PCで試したらホストOS側のESETが反応して無理だった 　　→じゃあ別のPCで試してみよう！ 　　　→そして伝説へ・・・

JPCERT/CC にて本攻撃に使用されているマルウエアを解析した結果、これま でに判明していた通信の盗聴機能に加え、コンピュータ内に保存されているア カウント情報を窃取する挙動を確認しましたので、対策を周知する目的で本注 意喚起を発行いたします。

FFFTPのAES暗号版更新002 02:45 ベースを009版に変更しました。 しかし、基本的にパスワード保存はお勧めしません。マスターマスワードは長いほど良いです。

つまり「言い訳」がとても多く、これでは「いつやられても不思議ではありませんね」とアドバイスしています。ガンブラーがこれだけ猛威を振るっていて、しかも収束の目処がたっていないのは対策が進んでいないからに他なりません。 　正確には、対策したことになっているが対策になっていない、ということなのです。先日も「ガブられた」（ガンブラーにやられた）会社に行きましたが、やはりIE6＋Windows XP SP2の環境で、上記のような「業務遂行を優先したセキュリティ対策の妥協」が行われていました。

Origma+は、Gumblar等の、日々その形を変えるウイルスに対し力を発揮するパターンファイルに依存しないウイルス対策ソフト「yarai2009」のエンジンを用いており、巡回対象のWebサイトをぜい弱な仮想環境で閲覧し、実際に感染することでウイルスを検知し、感染ページの確認を行う。感染が確認されると、サイバーディフェンス研究所から、顧客へ報告がなされ、24時間を目安にセキュリティの専門家が現地へ駆けつけ、その後の初動を支援する。

IPA（情報処理推進機構）が無償で提供しているMyJVNバージョンチェッカを使いましょう。3分で簡単に、バージョンアップが必要なプログラムが残っていないかチェックできます。

接続先のサーバがSSLに対応している場合は、現時点で公開されているFFFTPはSSLに対応していないため、SSLに対応したFTPソフトに切り替えすることが薦められている。

Gumblar対策では、厳密には端末の各種ソフトウェア環境を最新状態に更新することやFTPサーバのアクセス制限など、様々な対策が求められます。この度公開する「SiteGuard」による対策は限定的な対策という側面はありますが、被害を極小化するための一助にして頂けると考えております。

なお、対策として別のFTPクライアントへの乗り換えをすすめる意見もあるが、ほかのFTPクライアントについても同様にアカウント情報を盗まれる可能性があるため、FTPクライアントを変更するだけでは抜本的な解決にはならない。また、FTP通信が盗聴されてログイン情報が盗まれるケースもあるようだ。FTPは平文で認証情報を送信するため、可能な限りSFTPやFTPSといった暗号化通信を行うプロトコルを利用し、またクライアント側にはパスワードを保存させない、もし保存させていたらそれをクリアしておく、といった対処が必要だろう。

定番FTPクライアントソフト「FFFTP」の作者であるSota氏は1月31日、レジストリ上に記録された「FFFTP」の設定を削除するツールを公開した。これは“Gumblar（ガンブラー）”と呼ばれるウイルスの亜種が同ソフトを標的にした攻撃を行う事例が報告されたことを受けたもの。現在、作者のWebサイトからダウンロードできる。

Gumblar の大流行 については、2 回目である今回はかなり早く収束したと言えるでしょう。3 回目の大流行の可能性については、しばらく様子を見る必要があります。 全体的に見て、1 月も先月までの傾向を踏襲しています。マルウェアはリムーバブルメディア経由で拡散し、各種スクリプトダウンローダが別のマルウェアへの感染を引き起こします。またその大部分は、よく使用されるソフトウェアの脆弱性を悪用するものです。

1月の不正プログラム感染被害の総報告数は1,670件で、12月の1,646件から若干増加している。今月のランキングでは、新たな不正プログラム「JS_ONLOAD(オンロード)」が3位にランクインした。Java Scriptで書かれた不正プログラムであり、Webサイトなどに不正に埋め込まれる。ユーザが「JS_ONLOAD」で改ざんされたWebサイトを閲覧すると、ロシアを中心とした不正なWebサイトにリダイレクトされる。さらに、りダイレクトされた不正なWebサイトでは、別の不正なプログラムをダウンロードさせられるというものである。

2009年4月、トレンドマイクロの調べによれば、30人に1人のMac ユーザ（本人、または周りの人）がウイルスに感染したことがあると答えています。

マカフィーは、全世界で1億2500万台以上のパソコンにインストールされており、性能、価格、使いやすさのトータルバランスが他に類を見ないほど優れているソフトです。ウイルス対策はもちろんのこと、フィッシング詐欺やスパイウェアに対する防衛も堅牢になっています。

今回注目したいのが、このノートンインターネットセキュリティ2010。2009年版も評判は良好でしたが、この10年版はさらに使い易さやセキュリティ面を改良し、よりユーザーの期待に応え、個人情報の盗難、ウイルス、ハッカー、ボット、スパイウェア、トロイの木馬などのオンライン上の脅威に対して、総合的な保護を提供しています。