ホームページからの感染を防ぐためには、この３つの対策以外に次の「１，ホームページ閲覧者の感染防止方法」に記載するプログラムを最新に保つことが必要です。 また、ホームページを持っていらっしゃる方は、「２，ホームページ開設者の対処方法」を参考にウイルスへのリンクを改ざんされ埋め込まれていないかの確認を行い、改ざんされていた場合は手順に従い復旧を行ってください。

所謂gumblarや8080ウィルスによる被害が表立ってきてしばらく経ちます。 自分のPCがgumblarに感染しているかどうかについてはウィルスソフトも対策され始めましたが、 自分のサイトが改竄されているかどうかについてのツールはほとんどありません。 ですのでgumblarによるWEBサイトの改竄に対してWEBサイトのオーナー側用のツール（プログラム）を作成してみました。 このツールは自分のWEBページがgumblarによって改竄されていないか簡単にチェックする事ができます。 特に１度改竄されてしまった場合、その他、どのファイルが改竄された疑いがあるかのチェックには有用だと思います。

Gumblar(ガンブラー,8080,GENO)ウイルスにより改ざんされたWebページを検出します

日本ベリサインは2010年7月27日、Webサイトの信頼性を付与するサービス「Verisign Trust Seal」を同日より国内向けに提供すると発表した。従来提供していた「Verisign Secured Seal」では、SSLを使った暗号化通信を行うための証明書を提供していた。同社の古市 克典社長（写真1）は、「eコマースサイトの決済にかかわらないページや、情報提供の正当性を必要とする政治家のWebサイトなどに利用してもらいたい」としている。

第14回サイバー犯罪に関する白浜シンポジウム 株式会社ラック 西本逸郎 氏 講演資料

サイト内のファイルが追加・削除されると通知メールが送信され、サイト管理者はブラウザー上から専用の管理画面で更新記録を確認できる。サイト管理者は自ら行った更新作業記録を削除すると心当たりのない更新記録が残るため、改ざんだと判断できるという。

フォティーンフォティ技術研究所の代表取締役社長、鵜飼裕司氏はそう指摘する。WindowsやWinnyの脆弱性を次々に発見するなど、セキュリティ業界に多大な貢献を果たしてきた同氏も「ソフトウェアを最新に保ち、最新のセキュリティパッチを当てているセキュリティ研究者でも感染する可能性がある」と認めた。

Gumblarによる攻撃が最初に報告されたのは2009年3月のこと。日本国内でも2009年5月ごろから具体的な被害が報告されるようになった。それから、約1年が経過したにもかかわらず、Gumblarによる被害は一向に減らず、相変わらず猛威をふるっている。

日本ではGENOウイルスとして広まり、社会的な問題として認知されるようになったのが「Gumblar」と呼ばれるウイルス群である。いったん収束したように見えたものの、2009年末には新たなGumblarウイルスに感染するスクリプトがJR東日本をはじめとする大企業の公式サイト不正に埋め込まれ、さらに大きな騒ぎとなった。

警察庁は3月18日、「情報技術解析平成21年報（インターネット観測結果等）について」を発表した。これによると、7月に発生したサイバー攻撃では、米国および韓国の政府機関等35機関のWebサイトが一時閲覧不能になった。警察庁では、韓国の攻撃対象サイトから送信されたサイバー攻撃の影響とみられる通信を検知、韓国当局と連携し日本所在のものとして、攻撃指令を行うサーバ8台を把握した。

レポートでは、2009年は引き続きWebサイトの改ざんを目的とした攻撃が多い1年となったが、SQLインジェクションのように外部から直接Webサイトを改ざんする攻撃は減少し、代わってGumblarによるWebサイト管理者のFTPアカウントを盗用する改ざんが増加したと説明。

一般ユーザー（パソコン）についても，Web管理者（サーバー）についても，抜本的な対策はない。求められるのは，少しでも被害を軽減するための取り組み。やるべきことは従来と変わらないが，ポイントを押さえ，効果を高めることが重要である。

新井氏にガンブラーの動向について聞いたところ、「ピーク時よりも被害は減ってきており、落ち着いてきたと言えます。しかし、まだ警戒が必要なレベルは脱していません」という。同社は3月3日、Apacheの設定ファイルである「.htaccess」の不正アップロードを行うガンブラー攻撃を複数のWebサイトで確認したという発表を行っている。

Gumblarは，ドライブバイ・ダウンロード（drive-by-download）攻撃の一つである。ドライブバイ・ダウンロード攻撃とは，Web サイトにアクセスしたユーザーのきちんとした同意を得ずに，マルウエア（ウイルス）を勝手にダウンロード・感染させる脅威だ。このうちWebブラウザやアプリケーションのぜい弱性を悪用する方法は，数年前から見られるようになった。

シマンテックは2010年3月9日、いわゆる「ガンブラー攻撃」に関する説明会を開催。一般ユーザーの被害としては、FTPアカウントなどのパスワードを盗まれるだけではなく、ボットや偽ソフト（詐欺的なソフトウエア）などをインストールされる危険性もあるという。

不正プログラムやWebからの脅威による攻撃の影響は、通常、時間の経過とともに薄れていくものだが、Gumblarに関しては全く様子が異なる。 Gumblar攻撃が世間に登場して以来、その攻撃に使われるマルウエア（ウイルス）には、次々に亜種が出現している。そして亜種が登場するたびに、利用されるぜい弱性の種類も、作成される不正ファイルの数も増加してきている。そのため、セキュリティ専門家は、Gumblarに関連した攻撃が、今後、更に複雑なものになるだろうと確信している。

情報処理推進機構（IPA）は2010年3月3日、「ガンブラー」攻撃の被害から復旧したものの、再度被害に遭ったという相談が寄せられているとして注意を呼びかけた。Webサイトの管理用パソコンにウイルスが感染したままだと、FTPカウントのパスワードを変更するなどしても無意味だという。

同社によると確認したのは1日、FTP転送ログから少なくとも1月27日にはこの攻撃が発生していたという。動作概要として、主要検索サイトからのアクセス、および404、403などのエラー表示がApacheのリダイレクト機能で攻撃サイトに転送。ユーザーは、Gumblar同様に悪性プログラムの感染被害に遭遇する。 従来型Gumblarとの相違点としては、1.Firefox + NoScriptの組み合わせでは防げない可能性があり、RequestPolicyなどのリダイレクト対策、2.コンテンツファイル自体は改ざんされておらず、ブックマークやURLの直接入力では影響を受けないためWebサイト管理者が発見しにくい点、などを同社では挙げている。

TPのログを調べ、下記のような内容があれば感染している危険がある。
FTP
Jan dd hh:mm:ss 2010 1 x.x.x.x 1278 /home/xxxx/.htaccess b _ i r xxxx ftp 0 * c

1. ユーザはJavaScriptの対策だけでは防げない Firefox + NoScriptの組み合わせでは防げない可能性があり、RequestPolicyなどのリダイレクト対策が可能なアドオンを利用する必要があります。 2. コンテンツファイル監視だけでは気付くことができない コンテンツファイル自体は改ざんされておらず、さらにブックマーク（お気に入り）やURL直接入力でサイトを表示した場合は影響を受けないため、Webサイト管理者が被害に気付きにくい。

このような中、様々な「ガンブラー対策」が発表されています。一般のユーザーから見れば、それを購入すればガンブラー対策になると信じてしまいます。しかしながら、インフルエンザや風邪と同じで、ガンブラーには「特効薬」はありません。

* 「Malwareがパケットキャプチャしてるだけでは?」 という疑惑があったからです。 * ということで、Gumblar/8080系ウイルスに感染した際に実行される高機能ダウンローダ「file.exe」を実際に踏んでみることにしましたｗ * 本来は改竄されているWebサイト経由で感染させたいところですが、まともに動作するサイトを発見出来なかったので、とあるサイトから入手した「file.exe」を直接実行することにしました。

SSL接続対応の国産FTPクライアントソフト「NextFTP4」の最新版v4.89が、17日に公開された。本バージョンでの主な変更点は、 “Gumblar”ウイルスをはじめとするFTPクライアントを標的としたマルウェアへの対策を強化したこと。

IPAは、毎月発表するコンピュータウィルスや不正プログラムの状況分析から、「今月の呼びかけ」を発表している。今月は、昨年から被害が多数報告されているガンブラーについて、注意を喚起している。

9日、8080によって埋め込まれるコードが大きく変化した。新しいコードでは、従来行われていた文字置換に加え、実行しても本編に関係のない無意味なコードが大量に挿入されている。また、これまでのコードには、「/*LGPL*/」「/*Exception*/」といった文字列が使われていたり、それらの文字列が使われなくなった後も目印にできる記述があったのだが、それらのすぐに見つけられる目立った特徴が消えてしまった。今回の変更はウイルス対策ソフトによる検出の回避に大きな影響があったようで、コードが変わった直後には、どの製品も検出が不可能な状態だった。

Gumblar攻撃の流れの振り返りが終わったところで、解析エンジニアの「虫の目」「鳥の目」で見たGumblar攻撃の特徴的と思われる部分をご紹介しましょう。全部で10にまとめてみました（順不同。検出名は解析時点での名前です）。あくまで一エンジニアが感じたこととして上に示した図と併せてご覧いただき、わかりにくいGumblar攻撃の全貌を明らかにするための参考となれば幸いです。

しかし、FFFTPはソースコードが公開されているので、エンコードを施した状態でレジストリに保存しているパスワードをデコードする方法が既に広く知られています。エンコードされたパスワードを入力すると、クリアテキストのパスワードを教えてくれるホームページもあります。 　攻撃プログラムはこのパスワードを読み出して悪用してしまうのです。対策として最初に流れた情報は、設定をテキストファイルに書き出せばいい、あるいは使用をやめて他のクライアントソフトに乗り換える、暗号化された通信ができるFTPソフトに乗り換える、など交錯していました。しかし、結局はパスワードをどこかに保存している限りこの問題は解決しません。

通信を傍受するタイプのマルウェアに対しては、FTPパスワードが抜き取られるおそれが依然として残っている。これはFTPプロトコルの制限によるもので、本ソフトの更新だけで対応するには限界がある。ユーザー側も引き続き、各種アップデートパッチの確実な適用やウイルス対策ソフトの導入を怠らないといったマルウェアへの対策が必要だ。もし接続先のFTPサーバーがSSLなどに対応している場合は、SSL接続対応のFTPクライアントへ移行するなどといった対策も検討してほしい。

ガンブラー（Gumblar）の猛威が止まらない。2009年の春に世界中で大感染をしたのちに、一時下火となったウイルスだが、2009年末から2010年にかけて国内大手企業のWebサイトを相次いで改ざんするなど、再び深刻な事態となっている。このガンブラーとはどのようなウイルスで、どのような被害を出しているのか。報道各社のニュース記事やセキュリティベンダーの解説サイト、さらにASCII.jpに掲載されたこれまでの記事を振り返りながら紹介していこう。

Security Toolというマルウェアをとりあえず動かなくするためのメモ。 ただこの記事を書いている時には8080系が感染の原因だとはハッキリ分かっていなかった。 →じゃあ試しに感染してみよう！ 　→仮想PCで試したらホストOS側のESETが反応して無理だった 　　→じゃあ別のPCで試してみよう！ 　　　→そして伝説へ・・・

JPCERT/CC にて本攻撃に使用されているマルウエアを解析した結果、これま でに判明していた通信の盗聴機能に加え、コンピュータ内に保存されているア カウント情報を窃取する挙動を確認しましたので、対策を周知する目的で本注 意喚起を発行いたします。

Webブラウザのアカウント管理機能では、ベーシック認証やフォームに直接入力するタイプのID／パスワード情報を保存し、目当てのサイトにアクセスした際に自動的に入力できるようになっている。しかしGumblarに感染すると、そうした情報が盗み取られ、外部サーバに送信されていることをJPCERT/CCでは確認した。例えばIE6ならば「オートコンプリートの設定」で保存されるIDおよびパスワードがそれに当たる。

1月の不正アクセスの届出件数は20件で、そのうち何らかの被害のあったものが12件。被害届出のうち11件は侵入被害で、侵入被害の原因は、「Gumblar」の手口でFTPのアカウント情報を盗まれたものが1件、詳細は追いきれていないが「Gumblar」の手口だと推測されるものが8件となっている。

FFFTPのAES暗号版更新002 02:45 ベースを009版に変更しました。 しかし、基本的にパスワード保存はお勧めしません。マスターマスワードは長いほど良いです。

つまり「言い訳」がとても多く、これでは「いつやられても不思議ではありませんね」とアドバイスしています。ガンブラーがこれだけ猛威を振るっていて、しかも収束の目処がたっていないのは対策が進んでいないからに他なりません。 　正確には、対策したことになっているが対策になっていない、ということなのです。先日も「ガブられた」（ガンブラーにやられた）会社に行きましたが、やはりIE6＋Windows XP SP2の環境で、上記のような「業務遂行を優先したセキュリティ対策の妥協」が行われていました。

Origma+は、Gumblar等の、日々その形を変えるウイルスに対し力を発揮するパターンファイルに依存しないウイルス対策ソフト「yarai2009」のエンジンを用いており、巡回対象のWebサイトをぜい弱な仮想環境で閲覧し、実際に感染することでウイルスを検知し、感染ページの確認を行う。感染が確認されると、サイバーディフェンス研究所から、顧客へ報告がなされ、24時間を目安にセキュリティの専門家が現地へ駆けつけ、その後の初動を支援する。

IPA（情報処理推進機構）が無償で提供しているMyJVNバージョンチェッカを使いましょう。3分で簡単に、バージョンアップが必要なプログラムが残っていないかチェックできます。

接続先のサーバがSSLに対応している場合は、現時点で公開されているFFFTPはSSLに対応していないため、SSLに対応したFTPソフトに切り替えすることが薦められている。

Gumblar対策では、厳密には端末の各種ソフトウェア環境を最新状態に更新することやFTPサーバのアクセス制限など、様々な対策が求められます。この度公開する「SiteGuard」による対策は限定的な対策という側面はありますが、被害を極小化するための一助にして頂けると考えております。

なお、対策として別のFTPクライアントへの乗り換えをすすめる意見もあるが、ほかのFTPクライアントについても同様にアカウント情報を盗まれる可能性があるため、FTPクライアントを変更するだけでは抜本的な解決にはならない。また、FTP通信が盗聴されてログイン情報が盗まれるケースもあるようだ。FTPは平文で認証情報を送信するため、可能な限りSFTPやFTPSといった暗号化通信を行うプロトコルを利用し、またクライアント側にはパスワードを保存させない、もし保存させていたらそれをクリアしておく、といった対処が必要だろう。

定番FTPクライアントソフト「FFFTP」の作者であるSota氏は1月31日、レジストリ上に記録された「FFFTP」の設定を削除するツールを公開した。これは“Gumblar（ガンブラー）”と呼ばれるウイルスの亜種が同ソフトを標的にした攻撃を行う事例が報告されたことを受けたもの。現在、作者のWebサイトからダウンロードできる。

今回感染から24時間経ってまだ改ざんされていないという事を考えるとiniファイルへ保存するようにしておけば現状とりあえずは大丈夫なのかなぁという気がします。 私がパケットログの内容を詳細に読み取れる人ならそのへんの情報が送信されているのかどうかハッキリするんでしょうが、まだよくわかっていません。さーせん だからといってん？なんかわからんけど「iniファイルに保存する」ってしとけばokなの？ 今更FTPクライアント乗り換えるとかめんどいしじゃあそれでいいか なんていう甘い認識でいると、将来的にiniファイルまで読みに行くような改善(改悪?)が行われた時に困るでしょうし(今でも実はこっそり読みに行ってるのかもしれないし)そもそも他にも不安な部分はあるので、FTPクライアントの乗り換えがオススメされるわけです。

これはFFFTPを使用することでGumblarウイルスに感染するという事ではありません。別の要因によりGumblarウイルスに感染した場合、その後、FFFTPが記録している情報が悪用されてしまうという問題です。

FFFTP がやられてるらしい情報があちこちに出たからか、Sota’s Web Page (GumblarによるFFFTPへの攻撃について) が掲載されました。で、コレを受けてか「FileZilla なら FTP/SFTP/FTPS に対応してるぞ。おススメ！」という情報が出回り始めてます。 が、FileZilla を使う場合は気をつけないといけないことがあります。それはFileZilla は FTP 情報を平文で XML ファイルに保存していることです。最新版なのかな、ver. 3.3.1 でも未だそうなってます。

この問題で、FTP 自体の危険性と FFFTP 自体の特性、さらに Gumblar 対策という点で少し情報が混乱している状況が見受けられます。そこでその点を簡単にまとめてみました。

[本家との違い] 暗号化(難読化)の方法をちょっとだけ変更． その際にユーザの指定できる暗号化パスワード(ソフト中ではマスターパスワードと呼んでいる)を使用する． 暗号化パスワードは起動時にコマンドラインの -z オプションで指定する． パスワードが一致しないと正しいFTPパスワードが取り出せないようになっているので，ユーザの指定した起動時のオプションが分からなければ元に戻せない仕組みになっている． Note: -z を設定しない場合でも公式版のFFFTPとは異なる形式で保存されますので，既存のマルウェアからパスワードを読み取られることはないと思います．ただ，マルウェアは今後も亜種が出回ることが予想されますので，固有の暗号化パスワードを設定した方がより安全です．

なお、今回は「FFFTP」が“Gumblar”ウイルスによる攻撃の標的とされたことが作者により発表されたが、これはすでにウイルスに感染した環境において、次の攻撃の足がかりとして「FFFTP」の設定が悪用されたというもので、「FFFTP」に脆弱性があることは意味しない。 　そもそも、レジストリなどソフトの設定へウイルスが自由にアクセスできる状態になっている時点で、そのパソコンはすでにウイルス作者の手に落ちていると言ってよく、1つのソフトで対策を施したからといって安全であるとは言えない。まずは各種アップデートパッチの確実な適用やウイルス対策ソフトの導入など、“Gumblar”をはじめとしたウイルスに感染しないための根本的な対策が重要なのは言うまでもないだろう。

FFFTPは非常に優れたフリーのFTPクライアントでした。本当に感謝いたします。 しかし、 Version 1.96d [2008/9/23]を最後に更新停止されており、レジストリに ID/Password/接続先 を書き込むため、現在 8080系のマルウェアによって、感染と同時に窃取される危険性があります。 これまでの使用実績に感謝しつつ、ソフトをアンインストールし、以下のレジストリを必ず消去してください

ところで、かつて感染したときに一度改ざんされた生贄PCのFFFTPに登録してある生贄サイトですが 改ざんを修正してから、その後も敢えてパスワードを変更せずにおいたんですよね。 ただ、結局それ以降は一度も改ざんされていないので 「サイトが改ざんされるタイミングは、ウイルスに感染してFTPクライアントの情報を外部に送信した時だけ」 なのかなーとか思いつつ、たった今GumblarCheckerで生贄サイトを確認したら

「SiteGuard」のレスポンス検査機能を活用することにより、Webサイトにアクセスしたユーザーが 悪意あるサイトに誘導されるのを未然に防ぐことを可能とします。同時に、GumblarによってWebページが改ざんされた事実を検知（注意:Gumblarによる改ざん行為そのものを防御するものではありません。）する効果もあります。

国内でも多数のWebサイトに感染するなど猛威を振るっているトロイの木馬「Gumblar」について、セキュリティ企業の英Sophosは1月25日のブログで、12月に出現した新しい亜種が、1月中旬までの1カ月間に見つかったWebベースのマルウェアの40％を占めたと発表した。

SagiWallは、Webブラウザに表示されるWebサイトのコンテンツやリンク情報、スクリプトやプログラムなど、複数の要素を分析し、その危険性を判断する。さらに、ヒューリスティック検知エンジンを搭載し、未知の危険なWebサイトも、高い精度でその危険性を検知する。SagiWallの主な機能は、エンドユーザにとって危険なWebサイトを自動ブロックする。

ちょっと遮断されるまで間があるけど防いでくれてるっぽい。 一応セーフモードで確認してみたけど感染の兆候は無いっぽい。

スクリプトがスルーされあっけなく感染してしまい(一応一部のファイルには反応しているせいか、STOPエラーまではいかないものの、Runキーにはいつものアレが追加され、スタートアップフォルダには) えっ！どうしたavast! と思って愛用していたサイトのソースを確認してみると さっきまで/*LGPL*/だったはずの改ざんコードが最新の/*Exception*/に入れ替わっておりました。

新たな展開を見せているのは、昨年12月から続いている「/*GNU GPL*/ try{window.onload」などで始まるJavaScriptを埋め込むタイプ。一般には「ガンブラー」と総称されるが、セキュリティ通信では「8080」と呼んでいる攻撃だ。 　この攻撃では、閲覧者のパソコンをウイルスに感染させるために、ロシアのドメインの8080ポート（.ru：8080）に接続させる難読化したコードを改ざんサイトに埋め込む。誘導先のURLには「google.com」などの著名なドメイン名を大量に織り込み、本物のドメイン名をカムフラージュ。難読化は文字列にランダムに文字を挿入するやり方で、当初はURL部分だけだったが、後にあらゆる文字列にまで発展し、今月8日頃からは「/*LGPL*/ try{window.onload」で始まるコードに変化していた。

なんせsyszyd32.exeが仕込まれてるようじゃぁダメですよねぇ。 ちなみにスタートアップのsyszyd32.exeをブロックしたからか、登録してあったFFFTPの接続先は改ざんされていません。

回のコラムはスタイルを変えて、私がGumblarについてよく質問されることについて答えるかたちで、Gumblarの現状を説明します。厳密には、このウイルスはウイルス対策ソフトの会社ごとに異なる名前を付けていますが、アカウント情報を盗用してホームページを改ざんするインシデントに関係しているウイルスを、今回はすべて「Gumblar」とします。

根本的に対策を打たないといけない場所は「コンテンツをアップロードする端末」なのです。これが自社にあれば管理監督できるのですが、これが他社にあるのでついつい対策の対象からはずれがちです。せいぜい「感染しないように注意してください」とか「ウイルス対策ソフトを更新して、パッチをあててください」ということを「通知」する程度なのです。この程度では感染は防ぐことはできません。

おおーっ、ガッチリガード。 スクリプト自体を検出しているようす。 でもビビるわ！！ とにかく警告が派手。これがチェコ流？ ということでavast!は優秀でした。 たまに誤検出があるのはご愛敬。

なんだかわからないけど感染は防いでくれるらしい。 セーフモードで起動してスタートアップフォルダやRunキーを確認しましたが、大丈夫でした。 FFFTPに設定してあるサイトの改ざんも行われていません。

だってなんか免疫とかいう機能があるみたいなんだもん！ よしガンバレSpybot！ 有料ソフトにも負けないってところ見してやんだよ！ 結果 ダメでした ノーガードでフィニッシュです。

1月13日にAdobe Readerの最新版「9.3」が公開されている。「9.3」では、8080で悪用されている脆弱性が修正されているほか、これとは別の深刻な脆弱性も複数修正されている。今すぐアップデートを実行しよう。

道立生涯学習推進センターは１３日、同センターが開設している道立青少年教育施設のホームページ（ＨＰ）が不正アクセスされ、新型コンピューターウイルスの「ガンブラー」を仕掛けられていたと発表した。

不正サイトへの移動と感染は外見上、見えないため、一般ユーザーは注意が必要だ。被害に遭わないためには基本ソフト（ＯＳ）や使用しているアプリケーションソフトを最新の状態にしていくことが大切だ。

良く知られているドメイン名をURLに使うことによって、攻撃者は保護メカニズムを迂回しようとしていることが読み取れます。上記の例では実際のドメイン名はthechocolateweb.ruに帰結し、他に表示されている様々なURLは関係しません。

今回のリリースでは、昨年末より公表されていた複数の脆弱性を回避するプログラムを取り込んでいる。その中には、現在流行中のガンブラー関連の脆弱性に対応するものも含まれており、同社ではAdobe Reader/Acrobat 9.2もしくは8.1.7以前のバージョンを利用しているユーザーに対して、早急に更新するよう呼びかけている。

Adobeのセキュリティ情報によると、更新版のAdobe Reader 9.3とAcrobat 9.3では9件の脆弱性を解決した。悪用された場合、アプリケーションのクラッシュを誘発され、システムを攻撃者に制御される恐れがあるとしている。特にMultimedia.apiに存在する解放済みメモリ使用の脆弱性については事前に情報が公開され、この問題を悪用した攻撃が横行していた。

１）ガンブラーＸ（Gumblar X) 2) 8080 現在進行形の攻撃は「８０８０」であり、それは、例えばadobeなどの脆弱性（穴）を狙いすました攻撃だから、ウイルス対策ソフトでは、対応できていない。

三井住友カードは１３日、Ｇｕｍｂｌａｒ（ガンブラー）と呼ばれるコンピューターウイルスの亜種が原因で、同社ホームページ（ＨＰ）の店舗検索に関するサイトが改ざんされた、と発表した。６日午後２時半から７日午前１１時１３分の間にサイトを閲覧した延べ１８４５人のパソコンが、ウイルスに感染した恐れがあるという。

今回修正された脆弱性は8件で、このうちの1件（CVE-2009-4324）が、昨年12月から多発しているサイト改ざん攻撃で使われている。この脆弱性は、サイト改ざん攻撃だけでなく、細工したPDFファイルをメールに添付して送りつけるといった形でも悪用されており、アドビやセキュリティベンダーが注意を呼びかけていた。

Gumblar.xと8080は、似ている部分もあるが別物だ。まず8080では、Gumblar.xでは使われていなかったAdobe Readerの未修正の脆弱性と、JRE（Java Runtime Environment：Java実行環境）の脆弱性が使われている。このため、Gumblar.x用の予防策では、8080の攻撃を防ぐことができない。

Gumblar.xと8080は、似ている部分もあるが別物だ。まず8080では、Gumblar.xでは使われていなかったAdobe Readerの未修正の脆弱性と、JRE（Java Runtime Environment：Java実行環境）の脆弱性が使われている。このため、Gumblar.x用の予防策では、8080の攻撃を防ぐことができない。

Gumblar.xの悪用脆弱性は、実はカテゴリー的には変わっていません。Microsoft系が１つ増えただけで、FlashもAdobe Readerも旧来のものです。 問題となっている 8080は 絶賛ゼロディの Adobe Reader CVE-2009-4324 と、Java JRE CVE-2008-5353 の双方がどちらも（メーカPCにプリインストールの多い日本では特に）クリティカルなので、こんだけパンデミックな問題になってるわけですが・・・

シマンテックは1月12日、報道関係者に対し、企業のWebサイトを改竄しているのは「ガンブラー」という攻撃だとするここ数日の報道について、昨年5月に騒がれた「ガンブラー」との関係性は低いとする見解を明らかにした。

Gumblarが大流行し、大手メディアでも取り上げられるようになりましたが、情報が錯綜しているようです。そこで、実際に検体を解析しましたので、よくある間違いをQ&A形式にてお伝えします。

ウイルス対策ソフトが検出できないウイルスが増加していると、サイバークリーンセンターが発表している。2009年9月の8％に対して10月は14％に増加したという。パソコン利用者が最低限やるべきことは、ウイルス対策ソフトの装備だ。それでも不幸にして感染した場合、同センターのサイトで分かりやすい修復手順や対処ソフトを入手できる。

ヤフーは9日、「Yahoo!占い」サイト内の「鏡リュウジの星に願いを」のページにおいて、HTMLファイルの改ざんが確認されたことを公表した。当該ページの閲覧者にはウイルス感染の恐れがあるとして、確認を呼びかけている。

年末年始にかけて多数のWebサイトが改ざんの被害を受けている「Gumblar(ガンブラー)」ウイルスだが、ヤフーでも9日、同社運営の「Yahoo!占い」内のコンテンツで不正アクセスによる改ざんを確認したと発表した。

セキュリティー会社「セキュアブレイン」（東京）によると、これまでに確認された同ウイルスの多くは、ＨＰ管理用ＩＤとパスワードを外部に流出させるタイプ。感染者が別のＨＰの管理者の場合、連鎖的にウイルス被害を拡大させる。ウイルス対策ソフトを更新させないタイプなども確認されている。

We’ve now confirmed a new version. One of the sites we saw was originally compromised with the "/*GNU GPL*/" script and was recently updated with the "/*LGPL*/" script. A top portion of the obfuscated script looks something like this

ところが今回、これとは異なる新しいバージョンが見つかりました。以前、"/*GNU GPL*/" で始まるスクリプトで改ざんされていたサイトの 1 つが、最近になって "/*LGPL*/" で始まるスクリプトに書き換えられていることが確認されました。

米Adobe Systemsは1月7日、四半期ごとに公開しているAdobe ReaderとAcrobatの定例セキュリティアップデートを米国時間の12日に公開し、攻撃が多発している深刻な脆弱性に対処すると発表した。

一般社団法人 JPCERT コーディネーションセンター（JPCERT/CC）は、2010年1月7日、「Web サイト改ざん及びいわゆる Gumblar ウイルス感染拡大に関する注意喚起」を発行した。

ここ数日、大手企業での感染報告が相次ぎ、新聞紙上をにぎわしている「ガンブラー」(JS_GUMBLAR)。トレンドマイクロの発表によると、2009年12月の不正プログラム感染被害報告数ランキングで4位(33件)となっており、現在、まさに猛威をふるっている最中だ。

JPCERT/CCには、Webウイルスの埋め込みなどを目的としたWebサイトの改ざんが報告されている。届け出件数は2009年末から2010年初めに急増。2009年第3四半期（2009年7月から9月）には28件だった届け出が、2009年第4四半期には372件に達している。

Gumblarは、改ざんされたWebサイトを閲覧すると感染するウイルス。未対策のPCでは、改ざんサイトをWebブラウザで閲覧しただけで感染してしまうのが特徴で、被害が拡大する原因になっている。

民主党やホンダなどの大手サイトが、ガンブラーによって次々と改ざんされている。表示しただけでウイルスに感染する可能性があるので、徹底的な対策が必要だ。特に自分でブログなどを開設している人は警戒したい。

Gumblarは、Webサイトを改竄して、Adobe ReaderやFlash Playerの脆弱性を突いたJavaScriptコードを仕掛ける。Adobe ReaderやFlash Playerの最新版を用いていないユーザーが改竄されたWebサイトを閲覧すると、Gumblarに感染する。

JPCERT/CC では、昨年末より本事象に関する注意喚起を行っていますが、年末年始にかけて新たに多数の Web サイトが改ざんされたことを受け、再度ユーザや Web サイト管理者に対策を周知する目的で本注意喚起を発行いたします。

サンズが警告したのは「Requset.pdf」という名前のPDFファイル（図1）。ファイルを開くと、脆弱性を突いて内部のプログラムが勝手に動き出し、2種類の実行形式ファイルを生成して実行する。

　実行形式ファイルの一つは、「SUCHOST.EXE」というプログラム。このプログラムはパソコンに常駐し、あるコンピューター（サーバー）にインターネット経由で接続。攻撃者からの命令を待ち受け、その命令に従ってパソコンを操作する。つまり、攻撃者にパソコンを乗っ取られることになる。ただし、サンズのスタッフが確認した時点では、接続先のコンピューターは稼働していなかったという。

　もう一つは「temp.exe」。このプログラムは、ダミーのPDFファイル「baby.pdf」を生成し、ADOBE READERなどに読み込ませる。baby.pdfは、Excelで作成された表が貼られている無害のファイル。PDFウイルス（Requset.pdf）を開いても何も表示されないため、ユーザーが不審に思う可能性がある。そのユーザーの目をごまかすのが、baby.pdfの目的だという。

　サンズは、40種類の対策ソフトによりウイルスチェックできるWebサイト「VirusTotal（ウイルストータル）」を使って、今回のPDFウイルスを検査した。その結果、2009年12月31日時点で検出できた対策ソフトはわずか6種類だったという（図2）。

　今後は、より悪質なPDFウイルスが出現する危険性があるとして警告。サンズは、アップデートを適用するまでは、設定変更による回避策の実施を強く推奨している。具体的には、JavaScriptの設定を無効にする。

2009年11月19日【Gumblarおよびその亜種に関する大量の感染事例について】として、当社のセキュリティ監視センターJSOCから注意喚起を行いましたが、収束に向かう気配がありません。また、先日、JR東日本のWebサイト改ざんの報道に代表されるWebサイト改ざんは、このGumblarに感染したパソコンを通じて行われており、今後もますますの被害拡大が懸念されるため、注意喚起を行うこととしました。

11月16日以降は、JSOCで観測しているお客様の7％がGumblarに感染していることが分かりました。7％ものお客様が感染しているという状態は過去の歴史からみても異常な状態です。私のセキュリティアナリストの経験の中でもほとんど記憶にありません。これほどまでにたくさんのお客様のシステムでボットが感染していたことは2003年のBlaster、2004年のNetsky以来でしょう。

今回は趣向を変えて，複数の不正プログラムにより引き起こされる最新の脅威を仮想的に再現してみたい。トレンドマイクロでは現在最も多く発生している脅威のモデルを「Webからの脅威」と定義している。その最大の特徴は，インターネット経由のダウンロードなどにより複数の不正プログラムが侵入し被害を拡大し続けるというものだ。

有名企業のサイトが次々に感染し、大きな話題となった Gumblar（ガンブラー）。エンドポイントのセキュリティ対策だけでは防ぐことが難しい巧妙な方法で感染します。シスコは、ネットワークの観点から企業全体のセキュリティを防御する対策を提案しています。今回は Gumblar の感染手法を確認しながら、シスコのソリューションの有効性を検証します。

2009年末より、企業のWebサイトが改ざんされ、「JS_GUMBLAR（ガンブラー）」の亜種などが埋め込まれる事例が相次いでいます。改ざんされたWebサイトを閲覧した場合、FTPアカウント情報などを盗む不正プログラムや偽セキュリティソフトなど複数の不正プログラムに感染する可能性があります。

Web は生活や仕事と切り離せないものになっています。マルウェア作成者たちはこの事実を利用し、個人の名声ではなく金銭的な利益を得る目的で、Web を介して攻撃を仕掛けています。本書では、いくつかの一般的な攻撃技法について検証するとともに、オンラインで安全を守るためのベストプラクティスを紹介します。

基本的なガンブラー対策は、Windows Updateを行いOSを最新の状態にすること、Adobe Reader やJRE等のアプリケーションをアップデートすること、ウイルス対策ソフトを使用することだ。これにくわえ、ファイル転送のリスクに対する対策>、そして、万が一感染してしまった場合に感染を拡大させない対策がウェブサイト管理者が取るべき対応となる。

GUMBLAR(ガンブラー)ウィルスは、Internet Explorerなどのインターネットブラウザを起動してウェブページを閲覧しただけで感染する可能性があります。「怪しいサイトは見ない」といった心がけレベルの対策では通用しません。このウィルスに感染すると、パソコンが起動しなくなる場合や、個人情報を搾取されるなどの危険性があります。