JPCERT/CCは2010年11月15日、「踏み台にされるWebサイト~いわゆるGumblarの攻撃手法の分析調査~」という報告書を発表した。改ざんしたWebサイトを踏み台にマルウエアによる被害を拡大するGumblar攻撃は現在も活動が続いているとして、注意喚起をしている。
報告書ではGumblarの種類を、その手法や含まれるマルウエアの種類によって「Gumblar.X」と「Gumblar.8080」に分けている。このうちGumblar.Xについては、日本国内からのアクセスについてはなぜか制限されている状況だという。JPCERT/CCは、アクセス制限はGeoIPが使われているのが原因と分析している。GeoIPとは、あるURLにアクセスするユーザーのIPアドレスから、そのユーザーの場所を特定する仕組みだ。アクセスが制限されている理由はわからないが、現在も新たにWebサイトが改ざんされていることがわかっており、アクセス制限が解かれたときに日本のユーザーが再び被害に合う可能性は高い。
もう一つのGumblar.8080は、2010年10月26日ごろから活動が停止している状況だという。オランダ政府がボットネットを駆逐した効果が表れていると、JPCERT/CCはとらえている。ただし、改ざんされた状態で残っているWebサイトも存在しており、活動が再開される可能性もある。
これらの状況から、JPCERT/CCでは「Gumblarの活動は終わっていない」と結論づけた。
報告書では、新たな被害者を出さないために最も重要なのはサーバーの管理/運用であるとする。そのためには予防対策と事後対策が必要とし、注意点としてサーバーのパスワードが漏えいしていないかをチェックすること、管理用PCと業務用PCを分けて運用すること、などを提示している。
