シマンテックは2010年3月9日、いわゆる「ガンブラー攻撃」に関する説明会を開催。一般ユーザーの被害としては、FTPアカウントなどのパスワードを盗まれるだけではなく、ボットや偽ソフト(詐欺的なソフトウエア)などをインストールされる危険性もあるという。
ガンブラーとは、正規のWebサイトに細工を施すことで、そのサイトにアクセスしたユーザーを悪質サイトに誘導し、ウイルスを感染させようとする攻撃(図)。特に、Webサイトの管理用パスワード(FTPパスワード)を盗むウイルスを感染させる攻撃を指すことが多い。
「2009年夏以降、ガンブラーは『Trojan.Bredolab(ブレドラブ)』の感染を拡大するために使われている」(セキュリティレスポンス ディベロップメントマネージャの林薫氏)。Bredolabは2009年5月に出現したマルウエア(ウイルス)。出現以降、次々と亜種(変種)が出現しているため、セキュリティ対策ソフトを利用していても検出できない恐れがある。
Bredolabは、いわゆる「ダウンローダー」と呼ばれるウイルス。感染すると、攻撃者の指示や設定に従って、別のウイルスをダウンロードして感染させる。ダウンロードの機能しか持たないため、Bredolab自身の危険度は低い。しかしながら、「ダウンロードするプログラムの危険度は高い」(林氏)。
例えば、パソコンを乗っ取るボットや、ユーザーをだましてお金を取ろうとする偽ソフト、ユーザーIDやパスワードなどを盗む「インフォスティーラー」、セキュリティ対策ソフトを無効にする「レトロウイルス」、勝手に広告を表示する「アドウエア」などをダウンロードして感染させる。
ガンブラー攻撃では、パスワードを盗まれること、すなわち、インフォスティーラーに感染する危険性が強調されるが、実際には、ボットや偽ソフトなどの方が深刻だという。「国内でも、ガンブラー攻撃の被害に遭ってBredolabに感染し、ボットなどを埋め込まれている事例が多数あると推測できる」(林氏)。
Bredolabは、メールに添付されて送られてくることもある。「当初、攻撃者は迷惑メールなどを使って、“地道”にBredolabの感染を拡大させてきた。その後、2009年春に出現した“オリジナル”のガンブラー攻撃に目を付けて、夏以降、利用するようになったと考えられる」(林氏)。林氏によれば、“オリジナル”のガンブラーと、2009年夏以降のガンブラーは、ダウンロードさせるウイルスなどの点で大きく異なるという。
