HP改竄ウイルス「Gumblar」拡大中

コンピュータ・IT セキュリティ

ウイルス感染をきっかけとしてHPを改竄される事例が多数報告されている。Adobe ReaderAdobe AcrobatAdobe Flash Player の脆弱性を突かれて、WEBサイトを閲覧するだけで感染し、自分のサイトが被害拡大に貢献してしまう場合さえある。

名称(俗称)

「JSRedir-R」( GENO[ジェノ], ZlKon, Gumblar, Martuz )
※「GENOウイルス」または「Gumblar」と呼ばれることが多いようだ。

感染経路

  1. 難読化された悪意あるJavaScriptの埋め込まれたサイトを閲覧
  2. 海外のサイトに自動的に飛ばされる
  3. 誘導先サイトからウイルスが閲覧者のPCにインストールされる
  4. ウイルスに感染したPCではFTP通信を監視され、FTPアカウント及びFTPパスワードを窃取される
  5. 自分のWEBサイトに不正アクセスされ、コンテンツ内のHTML及びJSファイルに悪意あるJavaScriptが埋め込まれる

感染前の対策

1.Adobe製品を最新版にアップデートする
 ・Adobe Reader および Acrobat を最新版(9.1.1以降)にアップデートする→Adobe Reader

 ※上記インストール後、Adobe Reader を起動して、 「ヘルプ」→「アップデートの有無をチェック」を選び、最新版(9.1.1)にアップデートする必要がある。インストール時点では「9.1」版であり、最新版ではないことに注意(2009年5月24日現在)。

 ・Adobe Flash Player を最新版にアップデートする→Adobe Flash Player

2.FTPパスワードの変更

問題やらコメントやら

亜種の更新スピードに、ウイルス対策ソフトの更新が全く追いついていない。ここ数日で対応が進みつつあるとみられているが、最新の定義ファイルを利用していても、サイト閲覧時に何のチェックもされない(=感染してしまう)ケースが相当期間継続していた。今(2009年5月24日現在)も完全に対策されたとはいえない状況。
また、感染した場合、ウイルス対策ソフトの提供サイトへのアクセスがブロックされ、ウイルスの駆除ができない場合がある。パソコンにウイルス対策ソフトを導入することはインターネット利用の前提であることは間違いないとしても、決してウイルス対策ソフトを過信してはいけない。
感染してしまった場合の最も効果的な対策はクリーンインストール
このウイルスの挙動が完全に解明されたわけではなく、監視されているとされる通信がFTPだけなのかどうかも分かっていない。ただし、HP改竄の事象から、少なくともFTP通信が窃取されていることは間違いない。
海外(US Cert)の情報によると、感染した場合 Google の検索時に他のサイトへ誘導されてしまうこともあるという。

Adobe社のセキュリティ意識の低さ

Adobe社のセキュリティ意識の低さが今回の混乱を大きくしたことは間違いない。アメリカのセキュリティベンダーの中には、PDFファイル閲覧にAdobe Readerを使わないようにすることを推奨しているところも出てきたくらいだ。
脆弱性が発見された際には、可能な限り速やかにその情報及び危険性を公開・周知し、利用者に更新ファイルの適用を促すのがメーカーとしての責務であると思われるが、Adobe の姿勢は全く後ろ向きであると言わざるを得ない。たとえば Adobe Reader の配布サイトを見ても従来のソフトを使い続けることの危険性が全く語られていない。
Adobe Flash Player のサイトを見ても、「表現力」「新機能」「パフォーマンス強化」といった謳い文句はあるものの、従来のPlayerを利用し続けることの危険性については全く語られていない。5月20日になってようやく、Adobe社は脆弱性修正パッチを四半期ごとに定期的に公開する方針を決めたと伝えられているが、打つ手が遅すぎると言わざるを得ない。何もしないよりはマシという程度だ。

ひとまずここまで。