ホームページからの感染を防ぐためには、この３つの対策以外に次の「１，ホームページ閲覧者の感染防止方法」に記載するプログラムを最新に保つことが必要です。 また、ホームページを持っていらっしゃる方は、「２，ホームページ開設者の対処方法」を参考にウイルスへのリンクを改ざんされ埋め込まれていないかの確認を行い、改ざんされていた場合は手順に従い復旧を行ってください。

[本家との違い] 暗号化(難読化)の方法をちょっとだけ変更． その際にユーザの指定できる暗号化パスワード(ソフト中ではマスターパスワードと呼んでいる)を使用する． 暗号化パスワードは起動時にコマンドラインの -z オプションで指定する． パスワードが一致しないと正しいFTPパスワードが取り出せないようになっているので，ユーザの指定した起動時のオプションが分からなければ元に戻せない仕組みになっている． Note: -z を設定しない場合でも公式版のFFFTPとは異なる形式で保存されますので，既存のマルウェアからパスワードを読み取られることはないと思います．ただ，マルウェアは今後も亜種が出回ることが予想されますので，固有の暗号化パスワードを設定した方がより安全です．

なお、今回は「FFFTP」が“Gumblar”ウイルスによる攻撃の標的とされたことが作者により発表されたが、これはすでにウイルスに感染した環境において、次の攻撃の足がかりとして「FFFTP」の設定が悪用されたというもので、「FFFTP」に脆弱性があることは意味しない。 　そもそも、レジストリなどソフトの設定へウイルスが自由にアクセスできる状態になっている時点で、そのパソコンはすでにウイルス作者の手に落ちていると言ってよく、1つのソフトで対策を施したからといって安全であるとは言えない。まずは各種アップデートパッチの確実な適用やウイルス対策ソフトの導入など、“Gumblar”をはじめとしたウイルスに感染しないための根本的な対策が重要なのは言うまでもないだろう。

FFFTPは非常に優れたフリーのFTPクライアントでした。本当に感謝いたします。 しかし、 Version 1.96d [2008/9/23]を最後に更新停止されており、レジストリに ID/Password/接続先 を書き込むため、現在 8080系のマルウェアによって、感染と同時に窃取される危険性があります。 これまでの使用実績に感謝しつつ、ソフトをアンインストールし、以下のレジストリを必ず消去してください

ところで、かつて感染したときに一度改ざんされた生贄PCのFFFTPに登録してある生贄サイトですが 改ざんを修正してから、その後も敢えてパスワードを変更せずにおいたんですよね。 ただ、結局それ以降は一度も改ざんされていないので 「サイトが改ざんされるタイミングは、ウイルスに感染してFTPクライアントの情報を外部に送信した時だけ」 なのかなーとか思いつつ、たった今GumblarCheckerで生贄サイトを確認したら

「SiteGuard」のレスポンス検査機能を活用することにより、Webサイトにアクセスしたユーザーが 悪意あるサイトに誘導されるのを未然に防ぐことを可能とします。同時に、GumblarによってWebページが改ざんされた事実を検知（注意:Gumblarによる改ざん行為そのものを防御するものではありません。）する効果もあります。

国内でも多数のWebサイトに感染するなど猛威を振るっているトロイの木馬「Gumblar」について、セキュリティ企業の英Sophosは1月25日のブログで、12月に出現した新しい亜種が、1月中旬までの1カ月間に見つかったWebベースのマルウェアの40％を占めたと発表した。

SagiWallは、Webブラウザに表示されるWebサイトのコンテンツやリンク情報、スクリプトやプログラムなど、複数の要素を分析し、その危険性を判断する。さらに、ヒューリスティック検知エンジンを搭載し、未知の危険なWebサイトも、高い精度でその危険性を検知する。SagiWallの主な機能は、エンドユーザにとって危険なWebサイトを自動ブロックする。

ちょっと遮断されるまで間があるけど防いでくれてるっぽい。 一応セーフモードで確認してみたけど感染の兆候は無いっぽい。

スクリプトがスルーされあっけなく感染してしまい(一応一部のファイルには反応しているせいか、STOPエラーまではいかないものの、Runキーにはいつものアレが追加され、スタートアップフォルダには) えっ！どうしたavast! と思って愛用していたサイトのソースを確認してみると さっきまで/*LGPL*/だったはずの改ざんコードが最新の/*Exception*/に入れ替わっておりました。

新たな展開を見せているのは、昨年12月から続いている「/*GNU GPL*/ try{window.onload」などで始まるJavaScriptを埋め込むタイプ。一般には「ガンブラー」と総称されるが、セキュリティ通信では「8080」と呼んでいる攻撃だ。 　この攻撃では、閲覧者のパソコンをウイルスに感染させるために、ロシアのドメインの8080ポート（.ru：8080）に接続させる難読化したコードを改ざんサイトに埋め込む。誘導先のURLには「google.com」などの著名なドメイン名を大量に織り込み、本物のドメイン名をカムフラージュ。難読化は文字列にランダムに文字を挿入するやり方で、当初はURL部分だけだったが、後にあらゆる文字列にまで発展し、今月8日頃からは「/*LGPL*/ try{window.onload」で始まるコードに変化していた。

なんせsyszyd32.exeが仕込まれてるようじゃぁダメですよねぇ。 ちなみにスタートアップのsyszyd32.exeをブロックしたからか、登録してあったFFFTPの接続先は改ざんされていません。

回のコラムはスタイルを変えて、私がGumblarについてよく質問されることについて答えるかたちで、Gumblarの現状を説明します。厳密には、このウイルスはウイルス対策ソフトの会社ごとに異なる名前を付けていますが、アカウント情報を盗用してホームページを改ざんするインシデントに関係しているウイルスを、今回はすべて「Gumblar」とします。

おおーっ、ガッチリガード。 スクリプト自体を検出しているようす。 でもビビるわ！！ とにかく警告が派手。これがチェコ流？ ということでavast!は優秀でした。 たまに誤検出があるのはご愛敬。

なんだかわからないけど感染は防いでくれるらしい。 セーフモードで起動してスタートアップフォルダやRunキーを確認しましたが、大丈夫でした。 FFFTPに設定してあるサイトの改ざんも行われていません。

だってなんか免疫とかいう機能があるみたいなんだもん！ よしガンバレSpybot！ 有料ソフトにも負けないってところ見してやんだよ！ 結果 ダメでした ノーガードでフィニッシュです。

1月13日にAdobe Readerの最新版「9.3」が公開されている。「9.3」では、8080で悪用されている脆弱性が修正されているほか、これとは別の深刻な脆弱性も複数修正されている。今すぐアップデートを実行しよう。

道立生涯学習推進センターは１３日、同センターが開設している道立青少年教育施設のホームページ（ＨＰ）が不正アクセスされ、新型コンピューターウイルスの「ガンブラー」を仕掛けられていたと発表した。

不正サイトへの移動と感染は外見上、見えないため、一般ユーザーは注意が必要だ。被害に遭わないためには基本ソフト（ＯＳ）や使用しているアプリケーションソフトを最新の状態にしていくことが大切だ。

良く知られているドメイン名をURLに使うことによって、攻撃者は保護メカニズムを迂回しようとしていることが読み取れます。上記の例では実際のドメイン名はthechocolateweb.ruに帰結し、他に表示されている様々なURLは関係しません。

今回のリリースでは、昨年末より公表されていた複数の脆弱性を回避するプログラムを取り込んでいる。その中には、現在流行中のガンブラー関連の脆弱性に対応するものも含まれており、同社ではAdobe Reader/Acrobat 9.2もしくは8.1.7以前のバージョンを利用しているユーザーに対して、早急に更新するよう呼びかけている。

Adobeのセキュリティ情報によると、更新版のAdobe Reader 9.3とAcrobat 9.3では9件の脆弱性を解決した。悪用された場合、アプリケーションのクラッシュを誘発され、システムを攻撃者に制御される恐れがあるとしている。特にMultimedia.apiに存在する解放済みメモリ使用の脆弱性については事前に情報が公開され、この問題を悪用した攻撃が横行していた。

１）ガンブラーＸ（Gumblar X) 2) 8080 現在進行形の攻撃は「８０８０」であり、それは、例えばadobeなどの脆弱性（穴）を狙いすました攻撃だから、ウイルス対策ソフトでは、対応できていない。

三井住友カードは１３日、Ｇｕｍｂｌａｒ（ガンブラー）と呼ばれるコンピューターウイルスの亜種が原因で、同社ホームページ（ＨＰ）の店舗検索に関するサイトが改ざんされた、と発表した。６日午後２時半から７日午前１１時１３分の間にサイトを閲覧した延べ１８４５人のパソコンが、ウイルスに感染した恐れがあるという。

今回修正された脆弱性は8件で、このうちの1件（CVE-2009-4324）が、昨年12月から多発しているサイト改ざん攻撃で使われている。この脆弱性は、サイト改ざん攻撃だけでなく、細工したPDFファイルをメールに添付して送りつけるといった形でも悪用されており、アドビやセキュリティベンダーが注意を呼びかけていた。

Gumblar.xと8080は、似ている部分もあるが別物だ。まず8080では、Gumblar.xでは使われていなかったAdobe Readerの未修正の脆弱性と、JRE（Java Runtime Environment：Java実行環境）の脆弱性が使われている。このため、Gumblar.x用の予防策では、8080の攻撃を防ぐことができない。

Gumblar.xと8080は、似ている部分もあるが別物だ。まず8080では、Gumblar.xでは使われていなかったAdobe Readerの未修正の脆弱性と、JRE（Java Runtime Environment：Java実行環境）の脆弱性が使われている。このため、Gumblar.x用の予防策では、8080の攻撃を防ぐことができない。

Gumblar.xの悪用脆弱性は、実はカテゴリー的には変わっていません。Microsoft系が１つ増えただけで、FlashもAdobe Readerも旧来のものです。 問題となっている 8080は 絶賛ゼロディの Adobe Reader CVE-2009-4324 と、Java JRE CVE-2008-5353 の双方がどちらも（メーカPCにプリインストールの多い日本では特に）クリティカルなので、こんだけパンデミックな問題になってるわけですが・・・

シマンテックは1月12日、報道関係者に対し、企業のWebサイトを改竄しているのは「ガンブラー」という攻撃だとするここ数日の報道について、昨年5月に騒がれた「ガンブラー」との関係性は低いとする見解を明らかにした。

Gumblarが大流行し、大手メディアでも取り上げられるようになりましたが、情報が錯綜しているようです。そこで、実際に検体を解析しましたので、よくある間違いをQ&A形式にてお伝えします。

ウイルス対策ソフトが検出できないウイルスが増加していると、サイバークリーンセンターが発表している。2009年9月の8％に対して10月は14％に増加したという。パソコン利用者が最低限やるべきことは、ウイルス対策ソフトの装備だ。それでも不幸にして感染した場合、同センターのサイトで分かりやすい修復手順や対処ソフトを入手できる。

ヤフーは9日、「Yahoo!占い」サイト内の「鏡リュウジの星に願いを」のページにおいて、HTMLファイルの改ざんが確認されたことを公表した。当該ページの閲覧者にはウイルス感染の恐れがあるとして、確認を呼びかけている。

年末年始にかけて多数のWebサイトが改ざんの被害を受けている「Gumblar(ガンブラー)」ウイルスだが、ヤフーでも9日、同社運営の「Yahoo!占い」内のコンテンツで不正アクセスによる改ざんを確認したと発表した。

セキュリティー会社「セキュアブレイン」（東京）によると、これまでに確認された同ウイルスの多くは、ＨＰ管理用ＩＤとパスワードを外部に流出させるタイプ。感染者が別のＨＰの管理者の場合、連鎖的にウイルス被害を拡大させる。ウイルス対策ソフトを更新させないタイプなども確認されている。

米Adobe Systemsは1月7日、四半期ごとに公開しているAdobe ReaderとAcrobatの定例セキュリティアップデートを米国時間の12日に公開し、攻撃が多発している深刻な脆弱性に対処すると発表した。

一般社団法人 JPCERT コーディネーションセンター（JPCERT/CC）は、2010年1月7日、「Web サイト改ざん及びいわゆる Gumblar ウイルス感染拡大に関する注意喚起」を発行した。

ここ数日、大手企業での感染報告が相次ぎ、新聞紙上をにぎわしている「ガンブラー」(JS_GUMBLAR)。トレンドマイクロの発表によると、2009年12月の不正プログラム感染被害報告数ランキングで4位(33件)となっており、現在、まさに猛威をふるっている最中だ。

JPCERT/CCには、Webウイルスの埋め込みなどを目的としたWebサイトの改ざんが報告されている。届け出件数は2009年末から2010年初めに急増。2009年第3四半期（2009年7月から9月）には28件だった届け出が、2009年第4四半期には372件に達している。

Gumblarは、改ざんされたWebサイトを閲覧すると感染するウイルス。未対策のPCでは、改ざんサイトをWebブラウザで閲覧しただけで感染してしまうのが特徴で、被害が拡大する原因になっている。

民主党やホンダなどの大手サイトが、ガンブラーによって次々と改ざんされている。表示しただけでウイルスに感染する可能性があるので、徹底的な対策が必要だ。特に自分でブログなどを開設している人は警戒したい。

Gumblarは、Webサイトを改竄して、Adobe ReaderやFlash Playerの脆弱性を突いたJavaScriptコードを仕掛ける。Adobe ReaderやFlash Playerの最新版を用いていないユーザーが改竄されたWebサイトを閲覧すると、Gumblarに感染する。

JPCERT/CC では、昨年末より本事象に関する注意喚起を行っていますが、年末年始にかけて新たに多数の Web サイトが改ざんされたことを受け、再度ユーザや Web サイト管理者に対策を周知する目的で本注意喚起を発行いたします。

サンズが警告したのは「Requset.pdf」という名前のPDFファイル（図1）。ファイルを開くと、脆弱性を突いて内部のプログラムが勝手に動き出し、2種類の実行形式ファイルを生成して実行する。

　実行形式ファイルの一つは、「SUCHOST.EXE」というプログラム。このプログラムはパソコンに常駐し、あるコンピューター（サーバー）にインターネット経由で接続。攻撃者からの命令を待ち受け、その命令に従ってパソコンを操作する。つまり、攻撃者にパソコンを乗っ取られることになる。ただし、サンズのスタッフが確認した時点では、接続先のコンピューターは稼働していなかったという。

　もう一つは「temp.exe」。このプログラムは、ダミーのPDFファイル「baby.pdf」を生成し、ADOBE READERなどに読み込ませる。baby.pdfは、Excelで作成された表が貼られている無害のファイル。PDFウイルス（Requset.pdf）を開いても何も表示されないため、ユーザーが不審に思う可能性がある。そのユーザーの目をごまかすのが、baby.pdfの目的だという。

　サンズは、40種類の対策ソフトによりウイルスチェックできるWebサイト「VirusTotal（ウイルストータル）」を使って、今回のPDFウイルスを検査した。その結果、2009年12月31日時点で検出できた対策ソフトはわずか6種類だったという（図2）。

　今後は、より悪質なPDFウイルスが出現する危険性があるとして警告。サンズは、アップデートを適用するまでは、設定変更による回避策の実施を強く推奨している。具体的には、JavaScriptの設定を無効にする。

トレンドマイクロは1月7日、国内における2009年度不正プログラム感染被害報告数ランキングを発表した。それによると、1位は、USBメモリに不正な自動実行ファイル(autorun.inf)を作成して感染活動を行う「MAL_OTORUN」(オートラン)で、報告件数は3617。最近、国内大手企業のWebサイトに被害をもたらして話題になっている「JS_GUMBLAR」(ガンブラー)は、ランクインしていないものの、ガンブラーと連携した感染活動も行う、トロイの木馬型の不正プログラム「TSPY_KATES」(カテス)が470件で年間4位に入っている。

Webサイトの管理者は「JS_GUMBLAR」を埋め込まれないために、WebサーバのOSやアプリケーションの脆弱性を修正すると共に、ログイン名/パスワードを定期的に変更するなどの対策を施してほしい。また、ユーザは定期的にウイルス検索などを行うことが重要となる。さらに、正規のWebサイトであっても不正なWebサイトへリダイレクトされる可能性があるため、意図しないWebサイトへのアクセスを事前に防ぐ技術の利用すべきであろう。

2009年4月、トレンドマイクロの調べによれば、30人に1人のMac ユーザ（本人、または周りの人）がウイルスに感染したことがあると答えています。

Googleに使われた悪質コードを調べたところ、IEの一般には知られていない脆弱性を突いたものが見つかったという。

Facebookは3億5000万人の登録ユーザーに対して、同社がユーザーの安全を真剣に考えていることを示すため、セキュリティ企業McAfeeとの提携を開始した。

マカフィーは1月12日、2009年のコンピュータウイルスおよび不審なプログラムの検知データの集計を発表した。その結果、Gumblar（ガンブラー）が猛威をふるったことが、2009年の特徴であったと報告した。

マカフィーは1月6日、「2010年のサイバー脅威予測」を発表した。同社の研究機関であるMcAfee Labsは、2010年はSNS(ソーシャルネットワーキングサイト)やサードパーティのアプリケーションを標的とするサイバー犯罪が増加し、トロイの木馬やボットネットを利用したより複雑な攻撃や、HTML　5を用いた新手の脅威が出現すると予測している。

マカフィーは、全世界で1億2500万台以上のパソコンにインストールされており、性能、価格、使いやすさのトータルバランスが他に類を見ないほど優れているソフトです。ウイルス対策はもちろんのこと、フィッシング詐欺やスパイウェアに対する防衛も堅牢になっています。

2009年12月のおもな動きは、スパムメッセージ(迷惑メール)の発信源の推移と、スパムメッセージメールの平均サイズの変化が挙げられる。これまでのスパムメールの発信源は、北米とEMEA(欧州・中東・アフリカ)であった。それに対し、この数カ月では、APJ(アジア太平洋地域および日本)と南米が、発信源のトップになりつつある。

シマンテックは、ブログサービス「Ameba」のキャンペーンで配布したブログパーツが改ざんされ、閲覧者をウイルスに感染させていた可能性があることを受け、感染の可能性があるユーザーにセキュリティソフトの90日体験版を無料提供する。

今回注目したいのが、このノートンインターネットセキュリティ2010。2009年版も評判は良好でしたが、この10年版はさらに使い易さやセキュリティ面を改良し、よりユーザーの期待に応え、個人情報の盗難、ウイルス、ハッカー、ボット、スパイウェア、トロイの木馬などのオンライン上の脅威に対して、総合的な保護を提供しています。