猛威ふるうウイルス「ガンブラー」

コメントする

01/11/2010 by kaztaira

ガンブラーというウイルスが猛威をふるっている。

 「JR東HP一時停止 利用者にウイルス感染確認呼びかけ」(2009年12月23日)、「JR東など5社HPに新型ウイルス 閲覧者も感染の恐れ」(2010年1月5日)、「京王電鉄・ローソンHPも被害 新型ウイルスガンブラー」(2010年1月6日)、「新ウイルス被害、ハウス食品も 採用HP、1万人が閲覧」(2010年1月7日)、「ヤフー、占いの一部『ガンブラー』被害と発表」(2010年1月9日)。
 感染したウェブサイトを閲覧しただけで、自分のパソコンもコンピューターウイルスに感染してしまう、という。不安になった人も多いだろう。今のところ、名前があがっているだけでも、ホンダ、JR東日本、信越放送、ラジオ関西、モロゾフ、京王電鉄、ローソン、ハウス食品、ヤフー、と続く。
 報道をたぐっていくと、このウイルスによる被害は今に始まったことではないらしい。
 CNETのこの記事「’Gumblar’ attacks spreading quickly」「Experts: Gumblar attack is alive, worse than Conficker」によると、ガンブラーの検出されたのは昨年3月。そして、同年5月前後に猛威をふるったようだ。
 感染サイトを閲覧した利用者を、「ガンブラー」という名前のアドレスに転送させることから、この名前がついた。このアドレスの国別ドメインは「.cn」。中国で登録されたアドレスであることを示すが、紐付けられているIPアドレスは、ロシアとラトビアのもの、ウイルスを送りつけるサーバーコンピューター自体は英国内にあった、という。
 ただ、その後、この「ガンブラー」というアドレスは応答しなくなり、ウイルスの頒布は次々に別のアドレスから行われていったようだ。
 頒布されたウイルスは、パソコンにインストールされているアドビ社のPDFファイルの閲覧ソフト「アクロバットリーダー」や、動画閲覧ソフト「フラッシュプレイヤー」などの弱点を突いて侵入プログラムを作動させ、インターネットの閲覧ソフト(ブラウザー)に入りこむようだ。その上で、そのパソコンが、管理しているホームページがあれば、そのページへログインするためのIDとパスワードを盗み出したり、という振る舞いをしているという。
 それによって、盗み出されたIDとパスワードを使い、さらにそのホームページを改ざん、感染サイトに仕立て上げる、という繰り返しだ。
 感染パソコンは、「乗っとられた」状態になっているため、それ以外にも、様々なウイルスをダウンロードされたり、それをさらに頒布したり、とあらゆることに使われる可能性もある。
 米国のコンピューターセキュリティーの対応窓口である「CERT」は、5月にガンブラーの被害について、警告をだしていた。そこでは、感染パソコンでのグーグル検索の結果表示も改ざんしていまう可能性がある、としている。
 さらにグーグルは6月、ウイルスサイトトップ10の一つとして、ガンブラーを上げている。それによると、4月27日にウイルスサイトとして登録され、以後、急速な勢いで伸びていた。
 また、ウイルス対策会社「カスペルスキー」では、昨秋に再び発生したガンブラーの流行に警告を出していた
 そして年末年始にかけての感染被害。
 ふと振り返ってみて、自分のパソコンは感染していないだろうか?
 総務省と経済産業省が所管する「サイバークリーンセンター(CCC)」というところに、ウイルスチェックと対策のための特別ページがある
 このページの指示通りに、一通りの作業をやってみることをおすすめする。
 私も気になって、いろいろチェックしてみた。
 たとえば基本ソフトがウインドウズなら、その更新作業。調べてみると、重要な更新が反映されていなかった。
 さらに、ガンブラーが弱点を突くといわれるいくつかのプログラムの最新版への更新。先に上げたアクロバットリーダーやフラッシュプレイヤーに加えて、ブラウザーの「モジラ・ファイヤーフォックス」や、アップルの音声・動画再生ソフト「クイックタイム」、さらにマイクロソフトの「オフィス」、などが対象としてあげられている。
 私の場合、アクロバットリーダーが最新版でなかったり、とここでも、更新作業が必要になった。普段、時間がかかって面倒だからと、更新作業を怠っていると、こういうつけが回ってくる。

version checker

 さらにCCCでは、ガンブラーに限らず、外部からウイルス感染パソコンを遠隔操作しようとする動きを遮断するために、「ブロードバンドルーター」という機器の導入を推奨している。これによって、一般のインターネットと、家庭内などのネットとの間に、「壁」をつくることができるためだ。

 ウイルスチェックには、普段使っているウイルス対策ソフトのほか、オンラインで検知のみのサービスをしているサイト、さらにCCCのウイルスチェックソフトなど複数が用意されている。新しく亜種が出現した場合、1社のだけのチェットだと、そこがその亜種に対応できていない可能性もあるためだろう。
 感染経路は一通りではないだろうし、まだはっきりもしていないが、このCCCのサイトでは、ホームページの制作を外注していて、その制作会社のパソコンがウイルス感染したことから、改ざんの被害を受けた例もある、と指摘している。企業で、対策をとる場合、範囲は社内だけではすまないようだ。
 また、対策の順番も大切だ。改ざんされたホームページを正しいものと置き換えて、ログインのパスワードを変更しても、感染パソコンを特定して、ウイルスの駆除ができていなければ、またパスワードは盗み出され、改ざんが繰り返されてしまうからだ。
 ガンブラーの情報は独立行政法人の「情報処理推進機構」「JPCERT/CC」でも提供されている。
広告

コメントを残す

以下に詳細を記入するか、アイコンをクリックしてログインしてください。

WordPress.com ロゴ

WordPress.com アカウントを使ってコメントしています。 ログアウト / 変更 )

Twitter 画像

Twitter アカウントを使ってコメントしています。 ログアウト / 変更 )

Facebook の写真

Facebook アカウントを使ってコメントしています。 ログアウト / 変更 )

Google+ フォト

Google+ アカウントを使ってコメントしています。 ログアウト / 変更 )

%s と連携中

アーカイブ

ブログ統計情報

  • 515,567 ヒット
%d人のブロガーが「いいね」をつけました。