シマンテックは1月12日、報道関係者に対し、企業のWebサイトを改竄しているのは「ガンブラー」という攻撃だとするここ数日の報道について、昨年5月に騒がれた「ガンブラー」との関係性は低いとする見解を明らかにした。

一般的に「ガンブラー」と呼ばれているものは、「ドライブバイダウンロード」という攻撃者が用意したWebサイトにユーザーを自動的に誘導し、悪質なマルウェアをダウンロードさせる攻撃 手法で、転送されるURLが「gumblar.cn」というサイトであったところから付いた名称である。

ドライブバイダウンロードの仕組み

これに対し、昨年12月から行われている攻撃は、攻撃の転送先が異なるという。

同社のブログによると、昨年12月から発生しているWebサイトの改竄では、攻撃に用いられているJavaScriptに新たなバージョンが見つかったという。。以前、「/＊GNU GPL＊/」で始まるスクリプトで改竄されていたサイトの1つが、「/＊LGPL＊/」で始まるスクリプトに書き換えられていることが確認された。

このスクリプトは難読化されており、これを解除するとURLが出てくる。

スクリプトの難読化を解除すると出てくるURL
hxxp://free-fr.rapidshare.com.hotlinkimage-com.thechocolateweb.ru:8080/51job.com/51job.com/redtube.com/gittigidiyor.com/google.com/

改竄されたサイトにアクセスすると、不正なJavaScriptによって別のJavaScript がロードされ、2番目のJavaScriptは2つのリンクを含むiframeページを開く。この2つファイルはAdobe Acrobat、Adobe Reader、Sun Java Runtime Environment、Java Development Kitの脆弱性を突いて、コンピュータに対しマルウェアの感染を試みる。

同社では、今回の攻撃について、転送先のURLを頻繁に攻撃者が変更すること、それに伴い実行される攻撃コードやダウンロードされるマルウェアが多種に及ぶ可能性があり、すべての攻撃が同じURLやマルウェアをダウンロードしているわけではない点に難しさがあると指摘している。