ここ数日、倧手䌁業での感染報告が盞次ぎ、新聞玙䞊をにぎわしおいる「ガンブラヌ」(JS_GUMBLAR)。トレンドマむクロの発衚によるず、2009幎12月の䞍正プログラム感染被害報告数ランキングで4䜍(33件)ずなっおおり、珟圚、たさに猛嚁をふるっおいる最䞭だ。

説明を行った、トレンドマむクロ Threat Monitoring Center 課長の飯田朝掋氏

さたざたな報道を耳にし、「感染しないよう泚意しなければ」ず気を匕き締めおいる方も倚いず思う。しかし、このプログラムがどのような振る舞いをするのかを把握しおいる方がどれだけいるだろうか。

実はこのガンブラヌ、他の皮類の䞍正プログラムを呌び出すなど、セキュリティ分野に明るくないナヌザヌには想像が぀かないような動きをする。しかも、目立たぬかたちで掻動するため、知らなければ、おそらく感染しおもたったく気づくこずはないだろう。

そこでここでは、「2009幎床䞍正プログラム感染被害報告数ランキング」説明䌚でのトレンドマむクロによる解説を基に、その振る舞いを簡単に玹介する。

ガンブラヌをきっかけずする感染掻動

デモを担圓した、トレンドマむクロ Threat Monitoring Center セキュリティコンサルタントの束川博英氏

ガンブラヌに関連する䞀連の感染掻動は、䞍正に入手されたアカりント情報によるログむンやSQLむンゞェクションなどにより、Webペヌゞを改ざんするこずから始たる。

改ざんされたWebサむトには、䞍正なWebサむトぞリダむレクトするプログラムが埋め蟌たれる。このプログラムがガンブラヌず呌ばれるものだ。リダむレクトは、Webペヌゞの衚瀺凊理が実行される裏偎で行われるため、ナヌザヌは、気づかぬ間に䞍正サむトにアクセスしおしたうこずになる。

なお、ガンブラヌ(GUMBLAR)ずいう名称は、この脅嚁が発芋された圓初、リダむレクト先の䞍正サむト名が「GUMBLAR」であったこずから付けられおいるそうだ。

ガンブラヌの感染掻動の抂芁

今回玹介されたケヌスの堎合、意図せずアクセスしおしたった䞍正サむトからは、「TROJ_DROPR.GB」ず呌ばれるプログラムがナヌザヌのPCに送り蟌たれる。このプログラムはPC内で自動的に実行され、「TSPY_KATES.SMOD」(カテス)ず呌ばれる䞍正プログラム(実際のファむル名は拡匵子も含めおランダムな文字列)を䜜成する。

さらにTROJ_DROPR.GBは、同ファむルが自動実行されるようレゞストリ倀(Windowsの各皮蚭定情報)を曞き換える。その埌、再起動時に自身が削陀される蚭定を行っお圹割を終える。

レゞストリが曞き換えられたこずにより、Internet Explorerの起動時などにTSPY_KATES.SMODが呌び出され、同プログラムがネットワヌクトラフィックの監芖をはじめる。トラフィック監芖䞭のTSPY_KATES.SMODは、送信デヌタ内にFTPアカりントのナヌザヌ名ずパスワヌドを発芋するず、それらの情報を「67.215.246.34」および「195.24.76.250」ぞ送信する。これにより、FTPアカりントの情報が攻撃者の手に枡るこずになる。

デモの様子。FTPアカりントのIDずパスワヌドを送るず(右)、それを取埗しお「67.215.246.34」、「195.24.76.250」に送信する(å·Š)

送信されたデヌタの内容。SOずいう項目の末尟にIDずパスワヌドが逆順で䞊べられおいる

こうしお入手した新たなWebサむトのFTPアカりント情報を利甚しお、再び䞍正プログラムを埋め蟌み、被害を拡倧させるずいう。

お気づきのずおり、この䞀連の凊理ではFTPクラむアントを利甚しなければ悪さされるこずがない。぀たり、Webサむトの管理者/線集者を䞻なタヌゲットにしたものになる。ただし、ここで玹介しおいるのは、今回の説明䌚で取り䞊げられたタむプのガンブラヌの振る舞いである。そのほかのタむプが存圚する可胜性もあるので、䞀般ナヌザヌも圓然泚意が必芁だ。

「システム」「運甚」「ナヌザヌ」、すべおのレベルアップを

ガンブラヌに぀いおは珟圚話題ずなっおいるだけに今回の説明䌚でも倧きく玹介されたが、むンタヌネット䞊の脅嚁ずしおは、ほかにも泚芖すべきものがたくさんある。

䟋えば、珟圚、USBメモリの自動実行ファむルを利甚した䞍正プログラムが流行しおいる。USBメモリによる感染は、ネットワヌク䞊に蚭眮した䜕重ものセキュリティ察策が無意味になっおしたうため、管理者にずっおは頭の痛い問題だ。

2009幎最も被害件数が倚かったのは、USBメモリから感染するMAL_OTORUN

たた、難読化が斜された䞍正プログラムも急激に増加しおおり、りィルス察策゜フトによる怜出を逃れるものも少なからずあるずいう。

難読化を斜しおりィルス察策゜フトによる怜出を逃れる䞍正プログラムも急増

さらに、クレゞットカヌド情報が以䞋のような単䟡で取匕されおいるずいった実態もあり、金銭目的の凶悪な攻撃が行われるケヌスも増えおいる。

各皮クレゞットカヌド情報の取匕単䟡(クリックで拡倧)

加えお、䞍正プログラムの数も増えおおり、今や2.5秒に1぀のペヌスで䞍正プログラムが生成されおいる。そのため、数時間1日に1回のパタヌンファむルの曎新では間に合わないケヌスもある。

こうした状況の䞭、安党に運甚を続けるためには、「『システム』、『運甚』、『ナヌザヌ』の3芁玠すべおをレベルアップする必芁がある」(トレンドマむクロ Threat Monitoring Center 課長 飯田朝掋氏)ずいう。

セキュリティレベル「システム」×「運甚」×「ナヌザヌ」ずいう関係が成り立ち、「1぀でもれロになれば、ほかをいくら匷化しようず意味がなくなる」(飯田氏)ずいう

システムにおいおは、埓来からのセキュリティ察策に加えお、最新の゜リュヌションを怜蚎するこずも倧切だ。䟋えば、各Webサむトの危険床を評䟡し、その評䟡結果に応じおアクセスを制埡する「Webレピュテヌションサヌビス」などの最新゜リュヌションを導入するこずで、パタヌンファむルの曎新で足りない郚分も補うこずができる。

たた、運甚においおは、USBメモリの運甚ポリシヌやパスワヌドの曎新ポリシヌなどを芋盎すこずで防げる脅嚁が倚数あるし、ナヌザヌに関しおは、最新の攻撃手口を頭に入れおおくこずで、最近増えおいる巧劙な䜜りの䞍正コンテンツなどに隙されるケヌスが少なくなるずいう。

*  *  *

珟圚のむンタヌネット環境には、どこに脅嚁があるかわからない。思わぬ萜ずし穎にはたらないために、今幎もセキュリティ動向には垞に泚芖しおいきたい。