Gumblarは終わっていない

コンピュータ・IT セキュリティ

「JSRedir-R」(GENO/ZlKon/Gumblar/Martuz)情報の続きです。

改竄サイトはまだまだ増える

前回の記事で、攻撃者が2つのチームに分かれている可能性について言及しました。この仮説の真偽はともかくとして、Gumblarの攻撃自体は二段階に分かれています。

  1. マルウェア配布サイトに誘導した上でPCを感染させてFTPアカウントとパスワードを盗むこと
  2. 感染PC以外のPCからFTPサーバに不正ログインしてサイトを改竄すること

現在は、上記1の誘導先サイトが閉鎖されて、新たな感染拡大が停止した状態にあります。誘導先サイトから新たにマルウェアをダウンロードしてくることがなくなったため、インターネット界は落ち着きを取り戻したかのように見えます。しかしながら、今はまだひとつの脅威が(一時的に)停止したに過ぎません。
サイトの改竄は、今後まだまだ増加する可能性があります。HP閲覧によって新たなマルウェアに感染すること(≒FTPアカウント/パスワードを窃取されること)はなくなったとはいえ、攻撃者の手元にはこれまでに入手したアカウントが山ほどあり、改竄はやりたい放題の状況です。そして、ホームページ開設者によってFTPパスワードが変更されるまで、その改竄チャンスは続くのです。実際、改竄サイトは今も増え続けています。あまり表明化して見えないのは、恐らく以下のような理由でしょう。

  1. 誘導先サイトが閉鎖されたことにより新たな感染拡大が停止していること(前述)
  2. 改竄サイトの多くが比較的小規模な個人サイトであること
  3. 国内ISPの対応によって、問題あるスクリプトの埋め込まれたサイトは一次的に公開を停止されるケースが多いこと

FTPパスワードを変更しよう

このマルウェアに感染している可能性のあるPCを持つユーザがとるべき対策は、PCをクリーンかつセキュアな環境にした上で、FTPパスワードを変更することです。たとえパソコンの初期化はしても、なかなかパスワードを変更したがらないユーザが多いようです。(明らかに初期化の方が大変なのに!)パスワードを変更するという習慣(「文化」と言い換えてもいい)を持たないユーザが多いのでしょう。自分のサイトが攻撃者の片棒を担ぎたくなければ、今すぐFTPパスワードを変更しましょう。

現在は、有名どころのウイルス対策ソフトを導入し、最新の定義ファイルをあてていれば、改変サイト閲覧の際に検知が可能といわれています。ただし、転送先サイトが閉鎖されておりマルウェアのダウンロードができない状況で、改変されたサイトを踏んだだけで検知されるかは不明です。(ウイルス対策ソフトによっても動作が違うかも知れません。未検証です。)

ちなみに、サイト改竄時の不正FTPも、感染PCによって組織されたボットネットを介して行われていることはまず間違いありません。このボットネットを操るハーダーが世界中のどこかにいます。