シマンテックは23日、同社の統合版セキュリティソフト「ノートン 360」シリーズ最新版となる「ノートン 360 バージョン 4.0」を発売した。ラインナップはダウンロード版と店頭でのパッケージ版を含み複数用意されるが、2GBのセキュアオンラインストレージを含むダウンロード版の価格は8,480円。対応OSは、Windows XP / Vista / 7。なお、製品は1ユーザー版で同一世帯3台のPCにインストール可能。

今回注目したいのが、このノートンインターネットセキュリティ2010。2009年版も評判は良好でしたが、この10年版はさらに使い易さやセキュリティ面を改良し、よりユーザーの期待に応え、個人情報の盗難、ウイルス、ハッカー、ボット、スパイウェア、トロイの木馬などのオンライン上の脅威に対して、総合的な保護を提供しています。

MyJVN バージョンチェッカは、利用者のPCにインストールされているソフトウェア製品のバージョンが最新であるかを、簡単な操作で確認するツールです。

基本的なガンブラー対策は、Windows Updateを行いOSを最新の状態にすること、Adobe Reader やJRE等のアプリケーションをアップデートすること、ウイルス対策ソフトを使用することだ。これにくわえ、ファイル転送のリスクに対する対策>、そして、万が一感染してしまった場合に感染を拡大させない対策がウェブサイト管理者が取るべき対応となる。

ホームページからの感染を防ぐためには、この３つの対策以外に次の「１，ホームページ閲覧者の感染防止方法」に記載するプログラムを最新に保つことが必要です。 また、ホームページを持っていらっしゃる方は、「２，ホームページ開設者の対処方法」を参考にウイルスへのリンクを改ざんされ埋め込まれていないかの確認を行い、改ざんされていた場合は手順に従い復旧を行ってください。

「ガンブラー」では、近年インターネットで悪用されている様々な攻撃手法が組み合わされているため、これらへの対策を行うことで、「ガンブラー」以外の脅威に対しても有効な防御策となります。インターネットを利用している全ての人に危険が生じていることを認識し、十分な対策を行いましょう。

* 「Malwareがパケットキャプチャしてるだけでは?」 という疑惑があったからです。 * ということで、Gumblar/8080系ウイルスに感染した際に実行される高機能ダウンローダ「file.exe」を実際に踏んでみることにしましたｗ * 本来は改竄されているWebサイト経由で感染させたいところですが、まともに動作するサイトを発見出来なかったので、とあるサイトから入手した「file.exe」を直接実行することにしました。

SSL接続対応の国産FTPクライアントソフト「NextFTP4」の最新版v4.89が、17日に公開された。本バージョンでの主な変更点は、 “Gumblar”ウイルスをはじめとするFTPクライアントを標的としたマルウェアへの対策を強化したこと。

IPAは、毎月発表するコンピュータウィルスや不正プログラムの状況分析から、「今月の呼びかけ」を発表している。今月は、昨年から被害が多数報告されているガンブラーについて、注意を喚起している。

9日、8080によって埋め込まれるコードが大きく変化した。新しいコードでは、従来行われていた文字置換に加え、実行しても本編に関係のない無意味なコードが大量に挿入されている。また、これまでのコードには、「/*LGPL*/」「/*Exception*/」といった文字列が使われていたり、それらの文字列が使われなくなった後も目印にできる記述があったのだが、それらのすぐに見つけられる目立った特徴が消えてしまった。今回の変更はウイルス対策ソフトによる検出の回避に大きな影響があったようで、コードが変わった直後には、どの製品も検出が不可能な状態だった。

Gumblar攻撃の流れの振り返りが終わったところで、解析エンジニアの「虫の目」「鳥の目」で見たGumblar攻撃の特徴的と思われる部分をご紹介しましょう。全部で10にまとめてみました（順不同。検出名は解析時点での名前です）。あくまで一エンジニアが感じたこととして上に示した図と併せてご覧いただき、わかりにくいGumblar攻撃の全貌を明らかにするための参考となれば幸いです。

しかし、FFFTPはソースコードが公開されているので、エンコードを施した状態でレジストリに保存しているパスワードをデコードする方法が既に広く知られています。エンコードされたパスワードを入力すると、クリアテキストのパスワードを教えてくれるホームページもあります。 　攻撃プログラムはこのパスワードを読み出して悪用してしまうのです。対策として最初に流れた情報は、設定をテキストファイルに書き出せばいい、あるいは使用をやめて他のクライアントソフトに乗り換える、暗号化された通信ができるFTPソフトに乗り換える、など交錯していました。しかし、結局はパスワードをどこかに保存している限りこの問題は解決しません。

通信を傍受するタイプのマルウェアに対しては、FTPパスワードが抜き取られるおそれが依然として残っている。これはFTPプロトコルの制限によるもので、本ソフトの更新だけで対応するには限界がある。ユーザー側も引き続き、各種アップデートパッチの確実な適用やウイルス対策ソフトの導入を怠らないといったマルウェアへの対策が必要だ。もし接続先のFTPサーバーがSSLなどに対応している場合は、SSL接続対応のFTPクライアントへ移行するなどといった対策も検討してほしい。

ガンブラー（Gumblar）の猛威が止まらない。2009年の春に世界中で大感染をしたのちに、一時下火となったウイルスだが、2009年末から2010年にかけて国内大手企業のWebサイトを相次いで改ざんするなど、再び深刻な事態となっている。このガンブラーとはどのようなウイルスで、どのような被害を出しているのか。報道各社のニュース記事やセキュリティベンダーの解説サイト、さらにASCII.jpに掲載されたこれまでの記事を振り返りながら紹介していこう。

Security Toolというマルウェアをとりあえず動かなくするためのメモ。 ただこの記事を書いている時には8080系が感染の原因だとはハッキリ分かっていなかった。 →じゃあ試しに感染してみよう！ 　→仮想PCで試したらホストOS側のESETが反応して無理だった 　　→じゃあ別のPCで試してみよう！ 　　　→そして伝説へ・・・

JPCERT/CC にて本攻撃に使用されているマルウエアを解析した結果、これま でに判明していた通信の盗聴機能に加え、コンピュータ内に保存されているア カウント情報を窃取する挙動を確認しましたので、対策を周知する目的で本注 意喚起を発行いたします。

Webブラウザのアカウント管理機能では、ベーシック認証やフォームに直接入力するタイプのID／パスワード情報を保存し、目当てのサイトにアクセスした際に自動的に入力できるようになっている。しかしGumblarに感染すると、そうした情報が盗み取られ、外部サーバに送信されていることをJPCERT/CCでは確認した。例えばIE6ならば「オートコンプリートの設定」で保存されるIDおよびパスワードがそれに当たる。

1月の不正アクセスの届出件数は20件で、そのうち何らかの被害のあったものが12件。被害届出のうち11件は侵入被害で、侵入被害の原因は、「Gumblar」の手口でFTPのアカウント情報を盗まれたものが1件、詳細は追いきれていないが「Gumblar」の手口だと推測されるものが8件となっている。

FFFTPのAES暗号版更新002 02:45 ベースを009版に変更しました。 しかし、基本的にパスワード保存はお勧めしません。マスターマスワードは長いほど良いです。

つまり「言い訳」がとても多く、これでは「いつやられても不思議ではありませんね」とアドバイスしています。ガンブラーがこれだけ猛威を振るっていて、しかも収束の目処がたっていないのは対策が進んでいないからに他なりません。 　正確には、対策したことになっているが対策になっていない、ということなのです。先日も「ガブられた」（ガンブラーにやられた）会社に行きましたが、やはりIE6＋Windows XP SP2の環境で、上記のような「業務遂行を優先したセキュリティ対策の妥協」が行われていました。

Origma+は、Gumblar等の、日々その形を変えるウイルスに対し力を発揮するパターンファイルに依存しないウイルス対策ソフト「yarai2009」のエンジンを用いており、巡回対象のWebサイトをぜい弱な仮想環境で閲覧し、実際に感染することでウイルスを検知し、感染ページの確認を行う。感染が確認されると、サイバーディフェンス研究所から、顧客へ報告がなされ、24時間を目安にセキュリティの専門家が現地へ駆けつけ、その後の初動を支援する。

IPA（情報処理推進機構）が無償で提供しているMyJVNバージョンチェッカを使いましょう。3分で簡単に、バージョンアップが必要なプログラムが残っていないかチェックできます。

接続先のサーバがSSLに対応している場合は、現時点で公開されているFFFTPはSSLに対応していないため、SSLに対応したFTPソフトに切り替えすることが薦められている。

Gumblar対策では、厳密には端末の各種ソフトウェア環境を最新状態に更新することやFTPサーバのアクセス制限など、様々な対策が求められます。この度公開する「SiteGuard」による対策は限定的な対策という側面はありますが、被害を極小化するための一助にして頂けると考えております。

なお、対策として別のFTPクライアントへの乗り換えをすすめる意見もあるが、ほかのFTPクライアントについても同様にアカウント情報を盗まれる可能性があるため、FTPクライアントを変更するだけでは抜本的な解決にはならない。また、FTP通信が盗聴されてログイン情報が盗まれるケースもあるようだ。FTPは平文で認証情報を送信するため、可能な限りSFTPやFTPSといった暗号化通信を行うプロトコルを利用し、またクライアント側にはパスワードを保存させない、もし保存させていたらそれをクリアしておく、といった対処が必要だろう。

定番FTPクライアントソフト「FFFTP」の作者であるSota氏は1月31日、レジストリ上に記録された「FFFTP」の設定を削除するツールを公開した。これは“Gumblar（ガンブラー）”と呼ばれるウイルスの亜種が同ソフトを標的にした攻撃を行う事例が報告されたことを受けたもの。現在、作者のWebサイトからダウンロードできる。

マカフィーは、2010年1月のサイバー脅威の状況を発表した。これは、日本国内におけるマカフィー社のデータセンターが捕捉したウイルスなどの集計をも とに、各項目ごとのトップ10を算出したものだ。

マカフィーは、同社の個人向けセキュリティ製品「マカフィー アンチウイルスプラス2010」、「マカフィー インターネットセキュリティ 2010」、「マカフィー トータルプロテクション 2010」においてマカフィー史上最速軽量、パフォーマンスを大幅に向上させるアップデートの提供を12日より順次開始することを発表した。

マカフィーは、全世界で1億2500万台以上のパソコンにインストールされており、性能、価格、使いやすさのトータルバランスが他に類を見ないほど優れているソフトです。ウイルス対策はもちろんのこと、フィッシング詐欺やスパイウェアに対する防衛も堅牢になっています。

TMPSは、製造機器などの専用端末での利用を意識して開発されたウイルス検索ツール。検索エンジンとパターンファイルを内蔵したUSBメモリするだけでをウイルス検索/駆除/隔離が行える。パターンファイルは管理用のPCにてアップデートする運用になるため、インターネットに接続していないオフライン端末に対してもウィルス検索が行えるという特徴がある。

1月の不正プログラム感染被害の総報告数は1,670件で、12月の1,646件から若干増加している。今月のランキングでは、新たな不正プログラム「JS_ONLOAD(オンロード)」が3位にランクインした。Java Scriptで書かれた不正プログラムであり、Webサイトなどに不正に埋め込まれる。ユーザが「JS_ONLOAD」で改ざんされたWebサイトを閲覧すると、ロシアを中心とした不正なWebサイトにリダイレクトされる。さらに、りダイレクトされた不正なWebサイトでは、別の不正なプログラムをダウンロードさせられるというものである。

2009年4月、トレンドマイクロの調べによれば、30人に1人のMac ユーザ（本人、または周りの人）がウイルスに感染したことがあると答えています。

Kaspersky Labs JapanによるとPegelは、国内大手企業サイトに感染が確認されているWeb誘導型のマルウェアになる。かいざんWebサイト訪問者は不正サイト(ru:8080など)へ誘導される。正規ホームページが感染源になる点とアクセスしたPCが新たな感染源になって被害が拡大する点が特徴となる。Kaspersky Labsでは、2009年12月21日から2010年1月24日までの間国内380以上の感染サイトを確認しており、警戒を促す。

Gumblar の大流行 については、2 回目である今回はかなり早く収束したと言えるでしょう。3 回目の大流行の可能性については、しばらく様子を見る必要があります。 全体的に見て、1 月も先月までの傾向を踏襲しています。マルウェアはリムーバブルメディア経由で拡散し、各種スクリプトダウンローダが別のマルウェアへの感染を引き起こします。またその大部分は、よく使用されるソフトウェアの脆弱性を悪用するものです。