Gumblar,Geno,JSRedir-R

 マルウェアの名前の1つとして思われている事が多いが,実際は一連の攻撃手法と,攻撃を通じて感染するさまざまなマルウェアの総称。 名称は,不正サイトとして頻繁に利用されたドメイン『gumblar.cn』に由来。 現在ではこの攻撃手法を悪用した不正サイトが多数存在している。
 Web サーバのアカウントをハッキングするか,サーバソフトウェアなどの脆弱性をついてサイトを改ざんし,アクセスしてきたユーザを攻撃サイトにリダイレクトさせるもの。 攻撃サイトでは,マルウェアをダウンロードさせ,個人情報を窃取したり,ボットプログラムを注入したり,偽のウイルス対策ソフトをインストールしたりする。 感染するマルウェアは一定ではない。

 2009年4月ごろに発生した当初は,個人サイトや同人系サイトなどを狙っていた。 サイトが不正に改ざんされ,閲覧者が不正サイトに誘導されてマルウェアに感染。 その後沈静化したものの,2009年末から2010年初頭にかけて,今度は企業のサイトが狙われるようになった。
 不正サイトで閲覧者が感染するマルウェアは,主に FTP の認証データを窃取していた。 攻撃者は盗んだ FTP の認証データでサイトを改ざんし,閲覧者のコンピュータにマルウェアを仕込んでいた。 マルウェアには偽ウイルス対策ソフトなど幾つもの種類があり,その多くは ID やパスワードを盗み出すものだった。 攻撃者の最終的な狙いは,盗んだ個人情報を金銭に換えて利益を上げることだった。

 2009年4月ごろから流行。 当初,専門家の間で認知されて以来,継続的に種々の改造が加えられ,多様な変化をたどっている。 感染したコンピュータに保存されている FTP のアカウント情報やパスワードを盗み出して外部へ送信してしまうのが特徴。 攻撃者が Gumblar が盗み出した情報を悪用してさらに別の Web サイトを改ざんしているとみられる。 悪意のあるサイトを閲覧させたり,ユーザーの FTP アカウントを悪用してサイトを改ざんするなどの被害が報告されている。 国内では4月に感染した PC 通販サイトの名前から『GENO ウイルス』という通称で呼ばれている。
 改ざんされたページは PC 側の脆弱性をつく悪意ある JavaScript が埋め込まれており,このページを閲覧すると未対策の PC ではウイルスをダウンロードさせられてしまう。 PC が感染すると,1)Web ブラウザに潜み,Google の検索結果を操作し,悪意あるサイトを閲覧するよう誘導し,別の攻撃を仕掛ける。 2)ユーザーが FTP を使用するとそのアカウントを盗み,ユーザーが作成した HTML ページに悪意あるコードを埋め込んで改ざんし,アップロードして公開する。 3)感染した PC にバックドアを埋め込み,攻撃者が PC を外部から遠隔操作できるようにしてしまう(ボット化)。
 2009年6月12日,セキュアブレインは数時間の調査で400件以上の Web サイトの改ざんを確認したと発表。 改ざん被害を受けた Web サイトの内訳は,約45%が『co.jp』ドメインを持つ,日本の企業と思われる。
 2009年10月23日,Kaspersky の日本法人はこの亜種とみられる脅威が国内で見つかったと警告。 感染目的で改ざんされたサイトも60以上見つかったという。 改ざんされたサイトを閲覧すると感染してしまう恐れがある。
 2009年12月25日,ラックは『Gumblar およびその亜種に関する大量の感染事例について』という注意喚起を行った。
 2010年1月6日,ローソンは同社の採用サイト『http://www.lawson-recruit.jp/』が昨年末に改ざんされ,閲覧したユーザーが Gumblar ウイルス(通称 GENO ウイルス)亜種に感染した恐れがあると発表。 改ざんされていたのは,12月28日午前11時21分〜30日午前0時20分までで,期間中のアクセス数は450。
 2010年1月7日,JPCERTコーディネーションセンター(JPCERT/CC)やセキュリティ企業は,これ感染する被害が急増している問題で,ユーザーやサイト管理へ対策の早期実施を呼び掛けた。 同日,ハウス食品は同社の新卒採用サイトが不正アクセスで改ざんされ,閲覧した1万2000人が感染した恐れがあると発表。 採用サイトを担当する制作会社の PC が Gumblar 亜種に感染,サイト管理用の ID とパスワードが盗まれ,サイトが改ざんされたという。 改ざんされていたのは,2009年12月15日午前1時〜2010年1月5日の午後3時まで。
 2010年1月15日,フォーティネットジャパンは『Gumblar』型攻撃についてアドバイザリーを公開。 これまで国内で攻撃の被害に遭ったのは 3500 サイト以上。 一部のマルウェアはサイト管理用の FTP アカウントを盗聴して,外部のサーバなどへ送信。 攻撃者は入手した FTP アカウントで別のサイトを改ざんする行為を繰り返しているとみられる。 マルウェアに感染したコンピュータでは,このほかにもボットネットを通じて外部の攻撃者と通信や不正操作するような活動が確認された。
 2010年5月7日,トレンドマイクロは4月のマルウェア感染報告ランキングを発表し,Gumblar 関連のマルウェア感染が常態化していると発表。 総報告件数は1533件,報告数のトップは,リムーバブルメディアなどを通じて感染を広げる『MAL_OTORUN』,2位は Windows の脆弱性を悪用し,ネットワークやリムーバブルメディアで感染を広げる『WORM_DOWNAD』だった。
 2010年10月の時点でも,日本国内の3,000〜4,000件ほどのサンプルだけで Gumblar.8080 によって改ざんされたサイトが300弱ほど確認されている。 一度改ざんされて復旧したものの事後の対策が不十分だったため,再び改ざんされてしまったケースも確認されている。 初期の Gumblar によって窃取された FTP アカウントやその他の手法によって改ざんされたサイト群が,踏み台やマルウェア配布などの攻撃インフラとして機能している。


JSRedir-AK
 2010年1月25日に Sophos が警告した Gumblar の後継ともいえるマルウェア。 JavaScript を使って別のトロイの木馬を仕込んだロシアのサイトにユーザーを誘導し,不正な PDF などのファイルを利用してさまざまなマルウェアに感染させようとする。 12月22日から1月21日までにマルウェア感染が見つかったサイトのうち,40%強に感染していた。


Gumblar 型攻撃
 改ざんされたWebサイトなどを通じてマルウェア感染を狙う攻撃手段の通称。 攻撃者がサイトの管理アカウントなどを不正に入手し,閲覧者を外部の攻撃サイトへ誘導するよう改ざんする手口が知られている。
 2010年3月3日,ラックはサイトの改ざんに新たな手口が見つかったと発表。 Apache の設定ファイル『.htaccess』を攻撃者が標的サイトの不正にアップロード。 主要な検索サイトからのアクセスや『404』『403』などのエラーによって,閲覧者が Apache のリダイレクト機能で攻撃サイトに転送され,従来の Gumblar 型攻撃と同様に不正プログラムがダウンロードされてしまう恐れがある。 この手法ではコンテンツファイル自体は改ざんされず,また,ブックマークや URL を直接入力したサイトを表示した場合も影響を受けないため,Webサイト管理者が被害に気付きにくいのが特徴。 Firefox+NoScript の組み合わせでは防げない可能性があり,RequestPolicy などのリダイレクト対策が可能なアドオンを利用する必要がある。 3月1日にこの手法による改ざん被害を確認したが,調査の結果1月27日に攻撃が仕掛けられていた可能性のあることが分かった。
 2010年3月9日,シマンテックは報道機関へ分析結果などを説明するとともに,コンピュータ利用者へ改めて注意を呼び掛けた。 それよると攻撃の流行は,大きく2009年4月ごろと同年夏ごろから現在まで続く2回起きているという。
 前者は,攻撃者が何らかの方法でサイトの管理用アカウントを不正に入手し,サイトへ外部の攻撃サイトへのリンクを埋め込む。 コンピュータ利用者が改ざんされたサイトを閲覧すると,外部サイトへ自動的に誘導されてマルウェアがダウンロードされる。 このマルウェアが実行されると,コンピュータ利用者が FTP を利用している場合に,この FTP アカウントの情報を盗んで攻撃者へ通知する仕組みだった。
 後者は,前者の手口に加えて,攻撃者は感染したコンピュータへダウンローダー型のトロイの木馬『Trojan.Bredolab』を送り込む手口が加わった。 これにより,攻撃者は感染したコンピュータへこれを通じて,幾つもの異なるマルウェアを感染させることができる。 感染したコンピュータからは,FTP 以外にもさまざまなアカウント情報やクレジットカード情報などが盗まれてしまうほか,攻撃者による遠隔からの不正操作,偽セキュリティ対策ソフトを使った詐欺,アドウェアによるホップアップ広告攻撃などの被害に遭う。 対策として,感染していないコンピュータによるパスワードの変更,USB メモリやファイル共有を経由した二次被害の確認,感染したコンピュータの再インストールを推奨。 感染を防止するには,セキュリティアップデートの徹底,ソーシャルエンジニアリング攻撃の理解,パスワード管理ツールの活用,FTP や Telnet などセキュアではないプロトコルを使わないこと,IPS/IDS(不正侵入防御/検知)装置での不審な通信の確認などが有効だとしている。


Gumblar.X
 リダイレクトするサイトも改ざんされた正規サイトを利用するパターンも確認されている。
名称型番号確認期間特徴
Gunmblar3.12009年4月〜5月挿入される Java Script が難読化されている。
リダレクト先が特定のドメインに絞られている。
FTP アカウント情報を盗むことを目的とするマルウェアに感染する。
Gunmblar.X3.22009年10月〜12月
2010年2月(活動再開)〜同年10月現在		挿入される Java Script は難読化されていない。
複数の脆弱性を狙い,PC へのマルウェア感染を試みる。
接続元に制限がかけられている。
FTP アカウント情報を盗むことを目的とするマルウェアに感染する。
Gunmblar.80803.32009年12月〜2010年10月現在挿入される Java Script は難読化されていたが,2010年6月12日以降は難読化されない形で挿入されている。
複数の脆弱性を狙い,PC へのマルウェア感染を試みる。接続元の制限がかけられている。
FTP アカウント情報を盗むことを目的とするマルウェアだけでなく,複数のマルウェアに感染する。


戻る ウイルス最初のメニュー