Gumblarは終息したのか？ 今後の動向に注意が必要 - JPCERT/CC

JPCERTコーディネーションセンター(JPCERT/CC)は、マルウェアの「Gumblar」の活動を分析した「踏み台にされるWebサイト～いわゆるGumblarの攻撃手法の分析調査～」を公開した。現在、Gumblarの活動は収まっているが、JPCERT/CCでは「Gumblarの活動は終わっていない」と見ており、今後の動向に注意が必要だとしている。

Gumblarは、PCの脆弱性を悪用して感染マシンのFTPアカウントを窃取し、そのPCが管理しているWebサイトを改ざんして悪意のあるコードを埋め込み、さらに感染を拡大していくマルウェアだ。Webサイトの改ざんによって次々と攻撃サイトを増殖させていく手法で、多数のWebサイトが影響を受け、多くのユーザーが感染した。

Gumblarの攻撃が最初に確認されたのは2009年4月ごろで、初期のGumblarは5月ごろには活動を停止したと見られているが、その後同年10月から亜種の「Gumblar.X」が登場。同10月27日にはJPCERT/CCがGumblar.Xに関する注意喚起を公開して注意を促してきた。

さらにその後、同年12月16日から別の亜種である「Gumblar.8080」の攻撃が確認された。こちらは2010年1月7日に注意喚起が公表されている。この2つの亜種の活動が頻発し、PCの感染、FTPアカウントの窃取、Webサイトの改ざんが次々と確認されていった。

Gumblar.Xは2009年12月22日ごろに活動が一時的に停止していたが、Gumblar.8080の登場後、今年2月ごろから再び活動が再開されている。さらにWebサイトが改ざんされた埋め込まれるJavaScriptや、その結果ダウンロードされるマルウェアは常時変化しており、攻撃が高度化してきている。

しかし現在、Gumblar.Xに改ざんされたWebサイトにアクセスしても、マルウェアをダウンロードするリダイレクト先は日本国内からのアクセスができないようになっており、Gumblar.8080は、オランダ政府がBredlab botnetと呼ばれるボットネットを駆逐したことで、今年10月26日から活動が停止している。

つまり、現状は日本国内では攻撃の拡大が起こらないと見られており、現時点では新亜種の活動も見つかっていない。

ただ、これに対してJPCERT/CCでは、改ざんされたWebサイトがいまだに残っている点、Gumblar.Xのリダイレクト先が日本からのアクセスをブロックしているしているだけで、活動は継続している点、今後Gumblar.8080の活動が再開する可能性がある点を挙げ、「現在もGumblarの攻撃は継続している」と指摘。攻撃が停滞している今だからこそ、改めて対策を検討する必要があると訴えている。

JPCERT/CCの分析では、Gumblarでは攻撃キットを使って作成されており、闇取引される攻撃コードを、実際の攻撃者がカスタマイズして利用していると見ている。今年9月の広告サーバーが改ざんされたマイクロアドの事例でも、こうした攻撃キットが利用されたとしており、こうしたキットを応用した新たな亜種の登場も懸念されている。

Gumblar.Xのリダイレクト先は、GeoIPを使って日本からのアクセスをブロックしているようで、JPCERT/CCでは日本の研究者らがよくアクセスしているためではないかという推測はしつつ、「なぜ日本からのアクセスをブロックしているかは分からない」そうだ。いずれにしても、Gumblar.X側がこうした制限を外せば、これまで被害を生じなかったGumblar.X感染サイトへのアクスでマルウェアのダウンロードが行われるようになり、被害が生まれる懸念がある。

Gumblar.8080も、リダイレクト先の攻撃サイトがダウンしているだけで、今後別のサイトを立ち上げて復活する可能性もある。ドメイン自体を停止する必要もあるが、それ以上にスクリプトを改変して別のドメインにリダイレクトするような設定にすれば、それで攻撃が復活してしまう。

大きな問題が、改ざんされたWebサイトがいまだに多数残っていることだ。特にWebサイトの管理者は、自分が管理しているサイトが感染していないかをチェックする必要がある。改ざんされている場合は、PCが感染してFTPアカウントが盗まれている可能性があるので、感染したPCを絞り込み、駆除する必要がある。

ただ、Gumblar.8080は「駆除が難しい」とされており、最悪の場合はPCの初期化、OSの再インストールも検討すべきとしている。また、FTPアカウントが盗まれているため、パスワードをリセットして、再度改ざんを受けないような取り組みが必要だという。

Webサイトのコンテンツ自体も、一度改ざんを受けたサイトは繰り返し改ざんされる危険性があるので、コンテンツ自体を改めてチェックする必要がある。改ざんはHTMLファイルだけでなく、スクリプトファイルなどに対しても行われるので、幅広いチェックが必要になる。

対応策としては、Webサイトを管理するPCと業務用PCを分離して接続元を制限する、それができなければIPアドレスの制限をする、パスワードをしっかり管理する、OSやアプリケーションのパッチ、アップデートをきちんと行う、ウイルス対策ソフトをきちんと利用するといった基本的な部分を挙げ、JPCERT/CCでは「次の攻撃に利用されないための対応が必要」と強調している。