猛威をふるうガンブラーの徹底対策術【読売】
http://www.yomiuri.co.jp/net/security/goshinjyutsu/20100108-OYT8T00898.htm

　民主党やホンダなどの大手サイトが、ガンブラーによって次々と改ざんされている。表示しただけでウイルスに感染する可能性があるので、徹底的な対策が必要だ。

　特に自分でブログなどを開設している人は警戒したい。（テクニカルライター・三上洋）

民主党、ホンダ、JR東日本など大手サイトが改ざん被害

民主党東京都総支部連合会のウェブサイトも改ざん被害を受けた。12月25日から1月4日にかけて改ざんされた状態にあり、閲覧した人はウイルス感染している可能性がある　前回の記事「ガンブラーウイルスが猛威…JR東サイトも改ざん」でも紹介したように、ガンブラー（Gumblar、別名GENOウイルス）と亜種のウイルスによる被害が急拡大している。昨年12月からの被害だけでも、JR東日本、民主党東京都総支部、本田技研、モロゾフ、ハウス食品、信越放送、ローソン、京王電鉄などの大手企業サイトが改ざんされた。また、検索サイトのムーター、ネット情報サイトのデジタルマガジン、輸入品が中心の商社・三栄コーポレーションの一部ブランドのサイトも改ざんされている。

　この他にも、改ざんされた状態で放置されているサイトが現在もある。検索サイトで探しただけでも中小企業、歯科医院のサイト、通販サイトなどが改ざんされた状態となっている。セキュリティー大手のカスペルスキーによれば、国内で3000以上のサイトが改ざん被害を受けているそうだ。これらのサイトを表示しただけでウイルスに感染する可能性がある。

　なお、12月中旬以降の改ざん被害の多くは、それ以前とは異なるタイプの攻撃コードが使われている。正確に言うと、それ以前のガンブラーとは異なるが、ガンブラーの亜種の一つと考えてもいいだろう。

感染源はウェブサイト制作会社？
　ガンブラーは昨年4月ごろと10月ごろにも国内で大きな被害が出たが、その時は通販サイトなどの中小のサイトが中心だった。しかし今回は、大手企業サイトが軒並みやられている。これについて、セキュリティー対策団体のある幹部は「どうもウェブサイト制作会社のパソコンが感染し、ID・パスワードが盗まれているようだ」とコメントしている。改ざんされたサイトを地域ごとにリストアップしたところ、同一の制作会社が運営しているサイトがみつかったからだ。改ざんされた大手企業への取材でも、ウェブの制作・変更はすべて制作会社に任せている、とコメントしているところがある。

　ガンブラーはウェブサイトの更新に使われるFTPのID・パスワードを盗み取って改ざんする。そのため改ざんされたサイトは、どこかでFTPのID・パスワードが流出している。大手企業では社内の人間がFTPを直接使って更新するパターンは少ないはずで、多くは外注の制作会社がFTPで更新しているだろう。

　そこから考えても、ウェブサイト制作会社が感染源になっている可能性が高い。もしウェブサイト制作会社が大手であれば、他の企業サイトも担当しているから、今後さらに改ざん被害が広がりそうだ。企業のウェブサイト担当者は、外注している制作会社が大丈夫かどうか確かめる必要がある。

単なるウイルス駆除ソフトでは対策できない

ガンブラー関連の不正プログラム「カテス」の動作。パソコンにあるFTPのID・パスワードを盗み取って外部に送信する（トレンドマイクロ「不正プログラムの傾向と対策セミナー」）　セキュリティー対策大手のトレンドマイクロは、7日に「不正プログラムの傾向と対策セミナー」を開催した。その中でガンブラー関連の不正プログラム「カテス（TSPY_KATES.MOD トレンドマイクロでの名称）」のデモンストレーションが行われた。テスト環境の中で、ガンブラーの動きを実演するものだ。

　このデモンストレーションによると、ガンブラーはパソコンの設定ファイル（レジストリ）を書き換え、ネットワークに流れるデータを監視。そこで発見したFTPのID・パスワードを収集して外部に送信するしくみとなっていた。もし感染に気づかないままでいれば、常にFTPのID・パスワードが犯人側に送信されてしまう。前回の記事でも紹介したように、改ざん被害を何度も受けている企業があるが、これはウイルスが残ったままでいるためだろう。ID・パスワードを変更し、ウェブサイトを直したとしても、ウイルスが残っているために後で再び書き換えられてしまっている。

　なぜウイルス感染に気づかないのだろうか。それはウイルス対策ソフトのパターンファイルが、ガンブラーの亜種を検知できないからだ。トレンドマイクロ・スレットモニタリングセンターの飯田朝洋氏は「亜種が登場するスピードが速すぎて、パターンファイル方式での検知・駆除はむずかしい」とコメントしている。これはトレンドマイクロだけではなく、他のセキュリティー対策ソフトでも同じこと。ウイルスを見つけ出すのは、パターンファイル方式では無理だと考えたほうがいいだろう。

　ガンブラーをはじめとしたウェブサイトからの感染を防ぐには、パターンファイルではなくURLフィルタリング機能が必要だ。不正なスクリプトがある外部サイト、ウイルスが落ちてくる外部サイトへのアクセスを遮断する機能だ。これがあれば、たとえガンブラーに感染したとしても、ID・パスワードは流出しないし、ウイルスが増殖する可能性も低くなる。

　URLフィルタリング機能は会社によって呼び名が異なるが、有料ソフトの多くが対応して機能を充実させてきている（トレンドマイクロでは「Webレピュテーション」）。自分が使っているウイルス対策ソフトにURLフィルタリング機能があるのか、ぜひ確認しよう。無料のウイルス対策ソフトでは付いていない場合が多いので不十分だ。必ずURLフィルタリング機能の付いたウイルス対策ソフトを導入したい。

フラッシュプレーヤー、アクロバットリーダーなどを最新に

サイバークリーンセンターによる「ホームページからの改ざんを防ぐために」　ガンブラーなど最新のウイルスに備えるには、いま使っているソフトを最新状態に保つことが重要だ。マイクロソフトオフィス、アドビフラッシュプレーヤー、アドビアクロバットリーダーといったソフトを常に最新バージョンにする。パソコンに詳しくない人には難しいかもしれないが、下記のサイトにわかりやすい操作方法がまとめられている。
●ホームページからの感染を防ぐために(サイバークリーンセンター)

　サイバークリーンセンター（CCC）は、総務省と経済産業省が連携して運営している国のボット対策プロジェクト。ガンブラーやボットの感染を防ぐために、各種ソフトを最新バージョンにする方法を、上記のサイトで詳しくまとめている。このページの通りに設定すれば、ウェブサイトからのウイルス感染を防げるだろう。とても重要なのでプリントアウトして手元に置きたい。企業の担当者も必ず目を通そう。

　自分でレンタルサーバーを借りてブログなどを開設している人や、企業のウェブサイト担当者が注意すべきことが三つある。やや専門的な話になるが、どれも重要なことなのでチェックして欲しい。

１：ウェブサイトが置かれたサーバーのFTPは、必ずアクセス制限をかける
多くのサーバーでは、FTPにアクセス制限をかけられる。海外からのアクセスを排除するだけでも大きな効果があるので、必ずアクセス制限を設定すること。自分が使っているプロバイダーのIPを許可する、もしくは日本国内のIPアドレスだけ許可するなどの設定にしよう。

２：アクセス制限がかけられない場合は暗号化されたSFTPで
サーバー側でアクセス制限がかけられない場合は、ID・パスワードを暗号化してやりとりできるSFTP対応のFTPソフトを利用する。ガンブラーによってID・パスワードを盗み取られないようにするためだ。

３：改ざん被害を受けた場合は、徹底的対策を
改ざんされたら、まずやることはウェブサイトを一時的に閉めること。その上で感染源となったパソコンを徹底チェックする。ウイルス対策ソフトでは検知できない場合が多いので、不審なファイルがないかどうか慎重に確かめる必要がある。場合によってクリーンインストール、もしくは別のパソコンで更新するようにしたほうがいい。最後にFTPのID・パスワードを変更し、改ざん部分を直す。順番が逆になると、後で再び改ざんされてしまうので注意したい。

●参考情報
・ホームページからの感染を防ぐために(サイバークリーンセンター)
・ウェブサイト管理者へ:ウェブサイト改ざんに関する注意喚起、一般利用者へ:改ざんされたウェブサイトからのウイルス感染に関する注意喚起(IPA)
・ガンブラーウイルスが猛威…JR東サイトも改ざん:サイバー護身術

（2010年1月8日 読売新聞）
関連記事・情報Powered by Fresheye

【社会】 京王電鉄ＨＰも改ざん…新型ウイルス (1月7日 03:04)
【ニュース・新製品】 京王電鉄ＨＰも改ざん…「ガンブラー」ウイルス (1月7日)
【ニュース】 洋菓子「モロゾフ」のサイト、改ざん被害 (1月6日)
【社会】 ＪＲ東サイト改ざんウイルス、ホンダなども被害 (1月5日 15:01)
【ニュース】 新ウイルス「ガンブラー」…パスワード盗難の恐れ (1月5日)
サイバー護身術 最新記事一覧

猛威をふるうガンブラーの徹底対策術 （1月8日）
ガンブラーウイルスが猛威…ＪＲ東サイトも改ざん （12月24日）
「ＶＩＳＡ」の偽メールが大量拡散 （12月18日）
著作権無視のウェブハード事業者 （12月11日）
警察も本腰、「Share」で一斉摘発 （12月4日）
エスカレートする出会い系サイト詐欺 （11月27日）
自治体で横行するソフトの違法コピー （11月20日）
迷惑メール流通が史上最高 （11月13日）
偽対策ソフトの手口が巧妙に （11月6日）
ネット犯罪「裏経済白書」 （10月30日）
サイバー護身術一覧

編集長のおすすめトップ

大手小町 … 映画館でコレはダメ？
健康 … カルテ開示の手数料
発言小町 … 堕落した生活
大学入試特集日程 … ニュース
グルメ … 白ワインでリゾット
おとな総研 … ぐっすり眠ろう
教員養成 … 実験重視で理科に強く
地賛地食 … 群馬料理の専門店
栃木 … いいとこあっぺよ
読書 … 記憶には鮮明に「ある」
＠ＣＡＲＳ … 車ニュース
住まい … 注目の物件レポート
求人 … 採用意欲高い１４３７社公表へ
ネット … ３Ｄテレビ普及へ布石
健康 … １７０キロ店長
人生案内 … 義父母の気遣い心苦しい
鉄道 … リニア　部分開業の可能性も
ぶらり食記 … トロトロ　豚の尻尾

コメント

01. 2010年1月15日 16:11:44 Adobeのフリーツールを手動アップデートする方法 （既知の方はスルーしてください） ★Windows XP の場合 コントロールパネル上にあるプログラムの追加と削除にAbobe社製のソフトウェアがあることを予め確認する。　 Flash Player C:\WINDOWS\system32\Macromed\Flash のFlashUtil10d.exeをダブルクリックする。 これは今現在の最新バージョン名。バージョンにより若干名称は違う。 （uninstallで始まる実行ファイルは押さないこと） すると、アップデートを促すダイアログが出現して、3つの選択ボタンとその1つを選択旨の説明は出てくる。 左下の今すぐインストールを選択する。 後は、画面の指示通りに従い終了させる。 Adobe Reader アドビリーダーを起動させる。 メニューバーのヘルプを選択し、アップデートの有無をチェックを開く。 ダイアログが出現し、アップデートを促す画面の説明は出てくる。 画面の指示に従い終了させる。 念の為、実行する前にアドビ社のサイトへ行き、ツールの適用条件を確認しましょう。 セキュリティーソフトメーカーの案内 MS Windows ユーザー Windows XP セキュリティ ソフトウェア プロバイダ http://www.microsoft.com/japan/protect/viruses/xp/av.mspx Windows Vista セキュリティ ソフトウェア プロバイダ http://www.microsoft.com/japan/protect/viruses/vista/av.mspx/ Windows 7 一般ユーザー向け セキュリティ ソフトウェア プロバイダー http://www.microsoft.com/japan/windows/antivirus-partners/windows-7.aspx 7のみセキュリティーソフトメーカーのリンクは無し。

拍手はせず、拍手一覧を見る

---

★登録無しでコメント可能。今すぐ反映　通常 ｜動画・ツイッター等 ｜htmltag可（熟練者向）
（タグCheck ｜タグに'だけを使っている場合のcheck ｜checkしない）（各説明）

（←ペンネーム新規登録ならチェック）
↓ペンネーム（2023/11/26から必須）

↓パスワード（ペンネームに必須）

（ペンネームとパスワードは初回使用で記録、次回以降にチェック。パスワードはメモすべし。）
↓画像認証
（ 上画像文字を入力）
ルール確認＆失敗対策
画像の URL (任意):

投稿コメント全ログ 　コメント即時配信 　スレ建て依頼 　削除コメント確認方法

---

★阿修羅♪　http://www.asyura2.com/ 　since 1995
　題名には必ず「阿修羅さんへ」と記述してください。
掲示板,ＭＬを含むこのサイトすべての
一切の引用、転載、リンクを許可いたします。確認メールは不要です。
引用元リンクを表示してください。