コラム

Gumblarの攻撃手法

2011年2月 9日

  Gumblarによると思われるWebサイトの改ざんなどの被害が話題になっていますが現状では的確な対策が見出せない状況です。ITセキュリティセンターはITセキュリティ評価機関としてこれに直接向き合う状況ではありませんが、重大な関心を持って動向等の観察をしています。JPCERT/CCは2010年11月に報告書「踏み台にされるWebサイト ~いわゆるGumblarの攻撃手法の分析調査~」を発表していますが、これはJPCERT/CCで得られた情報を元にGumblarの攻撃手法などの情報を収集し分析したものです。Gumblarに対してはWeb改ざんの攻撃手法を把握したうえでWeb改ざんの対策を検討することを勧めています。ここでは上記報告書の概要をご紹介します。

JPCERT/CCへの Gumblarによるインシデント報告件数

図  JPCERT/CCへの Gumblarによるインシデント報告件数
(引用 「踏み台にされるWebサイト ~いわゆるGumblarの攻撃手法の分析調査~」2010 JPCERT/CC)

  報告書ではGumblarを3種に分類しています。図に見るように2009年5月にインシデントが増えていますがこの時期にGumblarが初めて登場しています。Gumblarにより改ざんされたWebサイトにアクセスしたユーザーを、攻撃者の用意したWebサイトに誘導してマルウエアを感染させます。

  図の2009年10月から12月及び2010年2月から現在まではGumblar.Xの活動時期になります。Gumblar.Xは改ざんサイト群、攻撃サイト群、情報送付サイト群を準備してアクセスしたユーザーにマルウエアを感染させます。これらの群を巧みに利用することにより感染への対策を難しくしています。なお報告書では詳細は明示していませんが、現在はGumblar.X自身が日本のIPアドレスからの接続制限を行っているため日本におけるユーザーの被害は発生していないとのことです。Web改ざんはなお続いていますので注意が必要です。

  図の2009年12月から現在までがGumblar.8080(報告書内の呼称)の活動時期です。Gumblar.8080は改ざんされたWebサイトに誘導したうえで金銭を目的とした偽ウイルス対策ソフトなどのマルウエアを感染させる特徴があります。

  Gumblar対策にはクライアント管理として、OSのアップデートを実施すること、ウイルス対策ソフトを導入すること、PCに直接IPアドレスを割り当てないようにすること、ファイアウォールの利用、などの被害を軽減する方法を挙げています。また、サーバの管理・運用のひとつとして、マルウエアに感染しパスワードを盗まれたあとの対応/対策としてはGumblar感染に早急に気づくこと、パスワードの管理、Webコンテンツのチェックの問題などをあげています。

≪参照≫

注目ワード> ISO/IEC15408 コモンクライテリア JISEC 電子政府推奨暗号リスト JCMVP  FIPS140 CMVP/CAVP
Copyright (C) 2007-2017 Information Technology Security Center. All Rights Reserved