01

January February March April May June July August September October November December
2009(Tue) 21:33

ま た お 前 か !

インターネット

Gumblar攻撃再開~被害は1250サイトに拡大、多数の国内サイトが被害に

一般のWebサイトを改ざんし、閲覧者をウイルスに感染させるための悪質なコードを仕掛ける通称「Gumblar 」。10月中旬に再開後、攻撃コードが無害化してしばらく息を潜めていたが、今月初めから再び攻撃が活発化して感染拡大傾向を見せている。

 カスペルスキーは11月16日、Gumblarに酷似したマルウェアを検知し、10月14日から11月16日までに国内の動画サイトやゴルフ関連サイト、神社や空港など1250サイトが改ざん染被害にあったとして、感染予防の対策を実施するよう注意を呼びかけた。

(中略)

 短期間で多くのサイトがGumblar攻撃に陥落したのは、これまでにもまして攻撃システムが複雑化して感染力を強めているからだ。Gumblarは、見かけはごく普通のサイトにアクセスしたユーザーが、知らないうちに改ざんされたサイトにリダイレクト(リンク先に誘導)されるのが始まりだ。リダイレクト先のページには、複数のマルウェアが埋め込まれており、ユーザーが使用しているソフトウェアの脆弱性に応じて最も適した、つまり悪質なマルウェアに感染する。その結果、ユーザー自身が管理するサイトのパスワードを盗み取られて改ざんされ、被害者になると同時に二次感染源になる、という具合に連鎖が広がる。

 春先や10月中旬のGumblarと比べて現在攻撃中のものは、このリダイレクトが一か所にとどまらず複雑化しており、複数の改ざんサイトにまたがった攻撃を仕掛けてくる。改ざんサイトは一般のWebサイトなので、アクセスするユーザーに警戒心はなく、ブロックすることも難しい。また、攻撃コードやウイルス本体が頻繁に変化しているため、ウイルス対策ソフトの対応が間に合わないケースも多く、感染してもなかなか気が付かない。感染に気づいて復旧作業をしても、処理や対策が不十分であれば、再改ざんや再感染を招き、感染の連鎖を拡大する一因にもなっている。

【被害拡大を防ぐための必須の対策】

 Gumblarが脆弱性を突いて感染させ、サイトを乗っ取るという基本構造は変わらない。だからこそ、春から繰り返し呼びかけてきた対策を講じることが被害拡大を防ぐためには必須だ。
 すべてのユーザーは、Microsoft Updateを実行してシステムを最新の状態にするとともに、Adobe Reader/Flash Playerを最新版に更新しよう。また、Webサイトの管理者には、ページに見知らぬリンクが埋め込まれていないか、見知らぬPHPファイル(ファイル名は不定)が設置されていないか確認していただきたい。万が一、見つかった場合には、ウイルスに感染していないパソコンを使用してサイトのパスワードを変更。攻撃者の手からサイトを奪取し、再改ざんされないよう備えていただきたい。

(2009/11/18 セキュリティ通信)


≪サイト感染の確認方法≫
・今のところ、HTMLソースの〈body〉タグの直前に < script src=http://――――――.php >< /script> があれば感染しているようです。なければ大丈夫。※赤文字はチェックの目安。
・今までのGENOウイルス同様に、見覚えのないスクリプトが挿入されていたら感染の疑いあり。
※安全なスクリプト(アクセス解析、広告、カウンターなど)と間違えて焦らないように。

丈田さんちのブログから記事を引用させていただきました。

……ま、また?
一応自分のサイトを確認した所、我がサイトは大丈夫なみたいですが、やっぱりこれはネットの海を引きこもれっていうことですか?
……○| ̄|_

あとこんなやばそうな記事ものっけておくね。
・東京都が推進している、成年向け同人誌の即売会の停止
(((( ;゚Д゚)))ガクガクブルブル

Edit Comments(0) trackBack(0) |