セキュリティ企業の英ソフォスは2010年1月25日、Webサイト経由で感染するウイルス(マルウエア)の動向を報告。ここ1カ月では、いわゆる「ガンブラー(Gumblar)」攻撃で感染させられるウイルスの一種が、全体の4割以上を占めたという。
ガンブラーとは、正規のWebサイトを改ざんして「ウイルスのわな」を仕込み、別のサイトに置いたウイルスに感染させるような攻撃のこと。この攻撃で感染させられるウイルスや、ウイルスのわな(実体はJavaScript)をガンブラーと呼ぶことも多い。
“オリジナル”が2009年春に出現して以来、その亜種というべき類似の攻撃が相次いで出現。国内でも、2009年末から2010年初めにかけて、有名企業のWebサイトが次々と改ざんされて、ウイルスのわなを仕込まれた。
ガンブラーによって感染させられるウイルスは、当初は「Troj/JSRedir-R」(ソフォスによる命名)と呼ばれるウイルスだけだった。このウイルスに感染すると、FTPのパスワードを盗まれる。攻撃者は、そのパスワードを使って別のWebサイトに侵入して改ざんし、ウイルス感染を拡大させる。
しかし最近では、最終的に感染させられるウイルスはさまざま。2009年12月22日から2010年1月21日までの1カ月では、「Troj/JSRedir-AK」と呼ばれるウイルスの検出数が最も多かったという(図)。同社の観測では、Web経由で感染するウイルスの4割以上を占めたとする。
同社によれば、この状況は、オリジナルのガンブラーが出現したときと同じだという。2009年春時点では、オリジナルのガンブラー攻撃で感染させられるTroj/JSRedir-Rが、Web経由で感染するウイルスの42%を占めたとしている。
