Gumblar対策
最近、大手サイトが感染したことで話題のガンブラーウィルスについてお問い合わせが増えてきましたので、まとめて報告いたします。
■主な特徴
Gumblarウイルスは、感染しているサイト(悪意あるスクリプトが埋め込まれている)を見に来たパソコンが知らない間に知らないサイトに誘導され、知らない間にウイルスに感染してしまいます。具体的には、iframeやJavascriptなどを使用して、別サイトのデータを読み込んでいます。ですので、閲覧者は一見、改竄されたサイトを見ているという意識はないはずです。
トレンドマイクロ等によると、Gumblarには、改竄されたサイト経由で感染する「TROJ_DROPR.GB」と、TROJ_DROPR.GBが感染先のパソコンに作成する「TSPY_KATES.SMOD」(Gumblarの本体プログラム)という2つがあるそうです。TSPY_KATES.SMODは、ユーザーがブラウザを起動して、アクロバットやFLASHなどのファイルを表示する時に起動されます。
このウイルスが起動すると、パソコン内にあるIDやパスワードが外部サーバーに送信されて、悪意ある者に盗まれることでホームページの改竄などが行われる仕組みとなっています。
FTPのログインパスワード等が盗まれた場合はそこに不正にログインされ、webサイトに不正なスクリプトが埋め込まれたり、webサイトの内容が改竄されるといった被害を受けます。
ここからは当社の見解です。
なぜ、FTPのIDやパスワードか盗まれるのかといえば、FTPのソフトの中で、これらのパスワードが暗号化されずに保存されているからだと思います。
FTPをしたことがある方ならご存じだと思いますが、FTP設定の中で、パスワード部分は、*****(アスタリスク)で保存されており、一見、暗号化されているような気がします。しかし、これは間違いで単純にアスタリスクで隠しているだけで実際は平文の状態で保存されます。たとえば、アスタリスクで隠してある文字を忘れてしまった場合、見えるようにする機能があるユーティリティも存在しています。
ちなみに平文で通信しているという点は、サイトのログインIDやパスワードを入れるときも同じで、SSL通信でない限り、アスタリスクで隠されていても、その筋のプロが盗み見を本気でやろうと思えば見える状態です。
同様にFTP通信も、平文ですので、FTP通信を盗み見してネット上に流れるIDとPASSを盗むことが可能です。
おそらく今後は、こうしたことのないSFTPのニーズが高まることが予想されます。
■感染したパソコンの症例
・CPU、メモリ使用率が上昇、動作が遅くなる
・Microsoft Updateやアンチウイルスベンダーへのサイトにアクセスできなくなる
・cmd.exe、regedit.exeが起動できなくなる
・explorer.exeがときどき異常終了
・ウイルス対策ソフトのパターンファイルが更新不能になる
■悪用される主な脆弱性
・Adobe Acrobat およびAdobe Reader の脆弱性
・Adobe Flash Player の脆弱性
・Microsoft Office の脆弱性
■対策・予防方法
【全てのパソコン】
・Adobe ReaderやFlash Playerなどを含むブラウザのプラグインの最新パッチを適用
・記述した覚えの無いJavaScriptやiframeタグ等がないかチェック
・使用しているパソコンが感染していないかチェック
(ウイルスチェックソフトでパソコン全体を「完全」スキャン)
【FTPを設定しているサイト管理者】
・webサイトを管理するパソコン(FTPのIDやパスワード等の情報を保持するパソコン)を限定する。
・FTP接続にIPアドレスによる制限をかける。hosts.allowに書き込みます。
■万が一感染しているPCが見つかった場合
・FTPやカードデータなどのIDやパスワード(個人情報)をそのパソコンで扱っている場合、
パスワードの変更や情報自体を削除。
・上記対策・予防方法を行う
■サーバーでの対策について
ガンブラーは、Windowsが対象です。
弊社サーバーで使用しているOSはLinuxで、随時弊社にて最新のセキュリティパッチをあてて脆弱箇所に対する処置を行っておりますため、 感染の報告はありません。
■ガンブラーを含むマルウェア全般におけるサイト改竄などの対策
ガンブラー(Gumblar)ウイルスなどのマルウェアは上記のような特徴がありますので、
「FTPサーバーに知らないパソコンからのアクセスが出来ないようにする」ことで
サイトの改竄を防ぐことが出来ます。
専用サーバーでは、設定したIPアドレス以外からのFTP接続を拒否することで、サイト改竄を防ぐことが可能です。
