2009年3月末に世界規模で蔓延した「Gumblar（ガンブラー／別名GENO）」が再び猛威を振れっています。日本国内では年末年始の長期休暇前後に、鉄道や流通、メーカーなどの大企業サイトが改ざんされ、一般ユーザのパソコンが閲覧しただけでウイルスに感染する被害が相次いでいて、深刻な問題になっています。NSFOCUSは、ネット被害の最前線でトップレベルの攻撃に直面している中国において強固な防御ソリューションを提供している経験を基に、今回のGumblar騒動について攻撃の手口と対策方法をここに発表致します。

●Gumblar攻撃の手口
Webサイトの改ざんは、SQLインジェクション攻撃を始めとする様々な方法で、攻撃者が脆弱性を持つWebサーバに不正なスクリプトを埋め込みます。サイトが改ざんされても、表示内容は一見通常と同じことが多いので、一般ユーザがそのサイトを閲覧すると、自動的に不正なサイトに誘導され、ウイルスに感染。ユーザが感染を知らずにWebサイト関連の業務を行った際に、ログイン情報が盗み出され、攻撃者は新たなWebサイト改ざんが可能となり、Gumblar攻撃の拡大へとつながります。

●攻撃の特徴
Gumblar関連の不正プログラムが閲覧者のコンピュータにダウンロードされてしまうのが、今回のGumblar攻撃の特徴です 。また、自動的にダウンロードされたTSPY_KATESは、ユーザーがWebブラウザなど起動してマルチメディアデータ処理関連のファイルをコンピュータが読み込んだ際に起動され、FTPプログラムのIDとパスワードを盗聴して外部のサーバへ転送するので、２次、３次被害が発生してしまいます。と、２次、３次被害が発生しているの拡大し

●緊急対策
一般ユーザへ最新のウイルス対策ソフト、ブラウザ及びAdobe ReaderやFlash Playerなどのプラグインに最新パッチを適用してください。 Webサイトの運用管理者へ改ざんの有無を早急に確認してください。また、定期的にサイト改ざんの有無を確認する作業が不可欠のほか、最初の改ざんのきっかけである脆弱性によるリスクレベルを低減させるため、定期的なWebサイト脆弱診断を実施すべきと考えます。

●事前予防対策（☆推奨）（PDFダウンロード）