Gumblarウイルスとは,改ざんされたWebページを見ただけで感染するウイルスの一種である。感染したパソコンは,ファイル転送に用いるFTP(file transfer protocol)のIDとパスワードなどが盗まれる恐れがある。日本では,Webサイトを改ざんされた通販ショップの名称をとってGENOウイルスと呼ばれることも多い。
現在確認されているGumblarウイルスの動きを見ると,多少の違いはあるものの,基本的な動作は共通している。まず攻撃者は何らかの手段で盗んだFTPサーバーのアカウントを用いて,Webサイトに不正なJavaScriptを埋め込む。こうして改ざんされたWebページを閲覧すると,不正なJavaScriptによって攻撃用のサーバーにリダイレクトされる。
攻撃用サーバーは,閲覧者のパソコンに不正なPDFファイルやFlashコンテンツを送り込み,米アドビシステムズのAdobe ReaderやAdobe Flash Playerのぜい弱性を利用して不正なコードを実行させる。するとキー入力や通信を監視するウイルスが攻撃用のサーバーからダウンロードされ,FTPのIDやパスワードなどが攻撃者に送られてしまう。
Gumblarウイルスの特徴は大きく三つある。一つは,発見を遅らせる細工がしてあること。不正なJavaScriptが見つかりにくいよう,Webページのソースコードの中央付近に挿入されていたり,一見しただけではどんな動作をするのかが読み取れないように難読化が施されている。また実行後に自分自身を削除するため,感染後にパソコンをスキャンしても見つからないケースがある。
二つめは,対策が難しいこと。ダウンロードされるウイルスの種類がすぐに変わるので,ウイルス対策ソフトの対応が追いつかないことがある。しかもアップデートの習慣が浸透してきているOSとは違い,あまりアップデートされないアプリケーション・ソフトが狙われているため,ユーザーの対策が遅れがちだ。
三つめは,無差別に攻撃されること。改ざんされたWebサイトは大規模なWebサイトに限らず,個人のブログなど小規模なものにも及んでいる。ユーザーの対策として最も重要なのは,Adobe ReaderやAdobe Flash Playerなどのバージョンを最新のものに更新することだ。もし感染している疑いがあるときは,ハードディスクをフォーマットしてOSを再インストールし,パスワードをすべて変更するのが望ましい。
