ニュース

Gumblar対策を再チェック　基本的な作業で感染防止を

大手企業のサイトが改ざん被害にあうなど、Gumblarウイルスが猛威を振るっている。ユーザーが取るべき予防策をまとめた。

　Gumblarウイルス（別名：GENOウイルス）が年末年始にかけて猛威を振るっている。JR東日本、ローソン、ハウス食品、本田技研工業、モロゾフなどがそれぞれ、サイトが改ざんされユーザーがGumblarウイルス亜種に感染した恐れがあると発表。JPCERT/CCやIPAも、ユーザーやサイト管理者に改めて注意を呼び掛けている。

JPCERT/CCが集計したWeb改ざん件数届け出の推移

　Gumblarは、改ざんされたWebサイトを閲覧すると感染するウイルス。未対策のPCでは、改ざんサイトをWebブラウザで閲覧しただけで感染してしまうのが特徴で、被害が拡大する原因になっている。

　改ざんサイトには不正なスクリプトが埋め込まれており、閲覧した未対策PCにウイルスをダウンロードさせてインストール。悪意のあるサイトを閲覧させたり、ユーザーのFTPアカウントを盗み出し、さらに別のサイトを改ざんするなどして増殖していく。

　昨年4月〜5月ごろに流行し、その後一時は落ち着いていたが、昨年末になって再び猛威をふるい始めた。JPCERT/CCへの10〜12月のWebサイト改ざん届け出件数は372件と、4〜6月（74件）の5倍、7〜9月（28件）の13倍に跳ね上がっており、Gumblar関連が多くを占めているという。

ユーザーの対策は

　Gumblarは、Flash PlayerやAdobe Acrobat/Reader、Java Runtime Environment（JRE）、Office、Windowsなどの脆弱性を利用するため、対策には、使用しているOSやソフトウェアを最新の状態に保ち、ウイルス対策ソフトの定義ファイルを最新の状態に更新、ウイルス検知機能が有効か確認する――といった基本的な作業が重要になる。

　1月8日時点で、AcrobatとReaderでは未修正の脆弱性が使用されていることが分かっている。このため、13日の修正プログラム公開までは、両ソフトのJavascriptを無効にするか、Windowsユーザーはデータ実行防止機能（DEP）を有効にするという対策を取るよう、JPCERT/CCは呼び掛けている。

サイト管理者も対策を

　Webサイト管理者の対策は、（1）Webサイトを更新できるPCをIPアドレスなどで制限する、（2）サイトが改ざんされていないか確認する、（3）FTPサーバのログを確認する、（4）サイトを更新できるPCがマルウェアに感染していないか確認する――といったことが挙げられる。

　JPCERT/CCによると、改ざんされたサイトの多くに不正なScriptタグが挿入されており、HTMLファイルや外部.js（JavaScript）ファイルに、「/*GNU GPL*/ try 」などの文字列が追記されているケースが多いという。

[ITmedia]

Copyright© 2010 ITmedia, Inc. All Rights Reserved.