シマンテックは3月9日、記者説明会を開催し、「ガンブラー(Gumblar)」と呼ばれる攻撃の内容と被害状況を明らかにした。同社は、同攻撃で用いられている悪質なプログラムに感染したマシンはボット、偽セキュリティソフト、ルートキットなどさまざまなマルウェアがインストールされ、情報の盗難やセキュリティソフトの削除などの被害を受けるとして、注意を喚起した。

シマンテック セキュリティレスポンス ディベロップメントマネージャ 林薫氏

セキュリティレスポンス ディベロップメントマネージャを務める林薫氏によると、ガンブラー攻撃は昨春に発生したものと昨夏に発生し現在まで続いているものの2種類に分けられるという。

前者のガンブラー攻撃は、FTPなど認証時に暗号化しない通信の情報を盗むマルウェアが用いられており、またドメインも決まっていたため、ブロックも容易で被害は少なかった。これに対し、後者のガンブラーはこのマルウェアに加え、暗号化されたアプリケーションの認証時のアカウントとパスワードを解読することが可能なマルウェアも併用するため、情報の収集能力が高く、被害が短期間で増大した。

「現在のガンブラー攻撃はトロイの木馬であるTrojan.Bredolabのエージェントを増やすための活動となっている。攻撃者は感染したマシンを悪用して、アフィリエイトやマルウェアのインストールサービスなどを行っていると考えられる。つまり、ガンブラー攻撃は攻撃者の利益に直結している」

現在のガンブラー攻撃の仕組み

Trojan.Bredolabはさまざまなマルウェアや偽セキュリティソフトなどをインストールするダウンローダー型のプログラムで、スパムメールやDrive By Download(Webページを閲覧しただけで感染すること)によって感染する。また、Trojan.Bredolabの通信は暗号化されているため、IDSやIPSによる検出も難しいほか、単純なフィルタリングではブロックできないようにドメインやIPを頻繁に変更している。

同氏は、Trojan.Bredolabの脅威について「やっていることは、プログラムをダウンロードしてインストールさせるだけという単純なものだが、落とすプログラムが悪質。ボット、偽セキュリティソフト、インフォスティーラー、ルートキット、アドウェアなど、さまざまなプログラムがダウンロードされるので、人によって症状と対策が異なるため、厄介である」と説明。

Trojan.Bredolabによってダウンロードされる悪質なプログラム

Trojan.Bredolabによってダウンロードされた偽セキュリティソフト型マルウェア「Security1ToolFraud」に感染したマシンで表示される画面

ガンブラー攻撃の対策としては、「セキュリティアップデートの確認」、「ソーシャルエンジニアリングの教育」、「認証情報は記憶させず、必要がある場合はマスターパスワードの設定」、「FTPやTelnetなどのセキュアでないプロトコルの利用停止」、「IPSやIDSなどによる通信のチェック」が紹介された。

「ゼロデイ攻撃が利用される場合もあるので、セキュリティ対策ソフトウェアだけではガンブラー攻撃を防ぐことはできない。"不審なメールは開かない"といった教育も必要」

また感染が疑われる場合は、感染していないシステムからパスワードを変更し、システムの再インストールを行うべきというアドバイスが行われた。また、USBメモリやファイル共有経由による二次感染も疑うべきだという。

加えて、システム全体として見た場合は、ボットが侵入したらさまざまな情報を盗まれてしまうため、侵入防止のための仕組みやパッチ管理の仕組みなど、予防が大切だという説明がなされた。