Gumblar(ガンブラー)の脅威が衰えない。新年度に入った4月5日、情報処理推進機構(IPA)からGumblar攻撃に対して改めて注意が呼びかけられた(IPAの情報)。

 Gumblarによる攻撃が最初に報告されたのは2009年3月のこと。日本国内でも2009年5月ごろから具体的な被害が報告されるようになった。それから、約1年が経過したにもかかわらず、Gumblarによる被害は一向に減らず、相変わらず猛威をふるっている。

 Webサイトを管理・運用する立場の人にとっては、Gumblarへの対策を考えておく必要がある。この特集では、現場ですぐ使えるGumblar対策の方法と、その効果を検証していこう。

多様な手段の組み合わせで感染を拡大するGumblar

 まず気をつけておきたいのは、一口にGumblarといっても、その種類は様々で特定のウイルスを指す言葉と考えないほうがよいということだ。Gumblarという言葉は、「Webサイト改ざん」とWebサイトを閲覧するだけで感染する「Web感染型ウイルス」とを組み合わせて感染を広げていく攻撃手法のことを指すと考えたほうがよい。

 ガンブラー攻撃では、Webサイトの管理者から管理用のパスワード(主にFTPパスワード)を奪取することを主要な目的としている(図1)。入手したパスワードを使って正規のWebサイトを改ざんし、ウイルスを感染させる「ワナ」を仕込んでおく。そうして、そのWebサイトにアクセスしてきたユーザーに対して、攻撃者が用意した不正なサイトからウイルスをダウンロードさせる。

図1●Gumblarによる代表的な攻撃パターン(IPAの資料から転載)

 ユーザーのパソコンにダウンロードされたウイルスは、そのパソコン上のソフトウエアにあるぜい弱性を悪用してパソコンに侵入しようとする。ぜい弱性の残っているパソコンを使っていると、送り込まれたウイルスに感染してしまう。もし感染したパソコンがWebサイトの管理などに使われていると、今度はそのパソコンがFTPで通信しようとするのを盗み見て、新しいFTPパスワードを盗み出す。そして、そのパソコンの管理対象とするWebサイトにまた別の新たなワナを仕掛ける、といったように感染を拡大していく。

 パソコンを使っているユーザーからは、不正なサイトにアクセスしたことがまったくわからない。改ざんされたサイトにアクセスしているうちに、いつの間にかウイルスに感染してしまうことになる。しかも、有名企業のWebサイトでもいつ改ざんされているかわからないので、「不審なWebサイトを閲覧しない」といった危険を回避する原則が通用しない。

 パソコンが最終的に感染させられるウイルスは実に多様である。どのウイルスを仕込むかは攻撃者が自由に制御できるため、どのようなウイルスに感染させられるかはわからない。攻撃されるぜい弱性も様々であれば、それによって受ける被害も様々である。FTPのアカウント情報(ユーザーIDとパスワード)を盗むものだけでなく、セキュリティソフトに見せかけて購入させようとする偽の詐欺ソフトなども報告されている。パソコンを乗っ取るウイルス(ボット)や、オンラインバンキングやオンラインゲームなどのアカウント情報を盗むウイルスを感染させられる危険性もある。