--_--
--
(--)--:--

スポンサーサイト

上記の広告は1ヶ月以上更新のないブログに表示されています。
新しい記事を書く事で広告が消せます。
2010_01
10
(Sun)23:59

ガンブラーウイルスの猛威

ガンプラ(ガンダムプラモデル)ウイルスじゃないですよ。
「Gumblar(ガンブラー)」です。(なにそのダジャレ…)

「Gumblar」とはコンピューターウイルスの名前です。
ここ最近、JR東○本、ホ○ダ、○ーソン、京王○鉄、ハウ○食品、
アメーバブログのブログパーツなどなど
有名大手企業のウェブサイトが次々とこのウイルスに感染した、とウェブニュースで騒がれています。
今はちょうど企業の新卒採用活動が盛んになってくる時期。
企業の採用ホームページを閲覧した不特定多数のパソコンが
感染しているのではないかと危惧されています。
警視庁ハイテク犯罪対策総合センターが、不正アクセス禁止法違反容疑で捜査を始めたそうです。

リアル(現実社会)では新型インフルエンザウイルスが猛威を奮い、
ウェブでもガンブラーウイルス。
まったく、世知辛い世の中になったものです……。

と、昨年5月から思っていました。
この2つのウイルス、その頃から既に大流行していたので。


このGumblarウイルス、昨年5~6月当時は通称「GENOウイルス」と呼ばれていました。
その頃は特に、同人関連の個人サイトで被害が拡大していたので、
同人サイトを運営している方や、同人サイトをよく見に行く方ならば、
一度はその名を耳にしたことがあるでしょう。
他に「JS-Redir」などの別名でも呼ばれていたらしいです。
一時終息の兆しが見られたものの、昨秋から手口が複雑化し、亜種ウイルスが感染拡大を続けているそうです。

私もこの問題に精通しているわけではないので受け売りですが、以下に簡単にまとめてみました。


Q) Gumblarウイルスの感染経路は?
A) ウイルスに感染しているWEBサイトを閲覧すると、
Gumblar関連の不正プログラムが閲覧者のPCにダウンロードされてしまう=感染する。

Q) Gumblarウイルスに感染するとどうなる?
A) 不正に入手したIDやパスワードで、その人のWEBサイトが改ざんされる(意図しないJavaScriptが埋め込まれる)。
勝手に有害サイトに接続したり、パスワードやファイルなどの個人情報が盗まれたりする恐れがある。
(企業サイトの管理用IDなどを盗み出して売りさばくのが、ハッカーの目的とも言われる)

Q) Gumblarウイルスの感染を防ぐ具体策は?
A) ウイルス対策ソフトだけでなく、パソコンソフトをすべて最新のものにすることが第一。
すべてのWindowsユーザーとサイト管理者がさしあたって行っておくべきこと
 (1)Microsoft Update(Windows Update)を実行しシステムを最新の状態にする
 (2)Adobe Readerを最新版に更新する

  メニューの「ヘルプ」→「アップデートの有無をチェック」をクリックし、製品を最新に更新する。
 (3) Adobe ReaderのAcrobat JavaScriptを無効に設定
  メニューの「編集」→「環境設定」→「JavaScript」と進み「Acrobat JavaScriptを使用」のチェックを外す。
 (4) JRE(Java Runtime Environment)を最新版に更新する
 (5) Flash Playerを最新版に更新する
 (6) QuickTimeを最新版に更新する

(1)~(4)を行っていれば、現時点で改ざんサイトを閲覧してもウイルスには感染しない。
攻撃コードは変化する可能性もあるので、念のため全て行っていただきたい。
だそうです。(上記ソフトのうち、自分のPCにもともと入っていないソフトは除く)

また、ウイルス対策ソフトの定義ファイルを最新の状態に更新し、
ウイルス検知機能が有効になっているか確認することも重要。

Q) WEBサイトの運用管理者の場合は?
A) Gamblarに感染していると、閲覧者にウイルスをばら撒いてしまう恐れがあるので、
早急に自分のPCと自サイトの確認が必要。
・Webサイトの更新ができるコンピュータを制限する(IPアドレスなど)。
・Webサイトで公開しているコンテンツに不正なプログラムが含まれていないこと、コンテンツが改ざんされていないことを確認する。

 ※ブラウザ上で見ても改ざんは発見できないので、ソースを丹念に調べる必要がある。
・HTMLファイルや外部.js(JavaScript)ファイルに「/*GNU GPL*/ try」や「<script>/*CODE1*/try」や「/*LGPL*/ try」(<、*、/は半角)といった不審な文字列が追記されていないかを確認する。
・FTPサーバのログを確認し、アクセス元IPアドレス、アクセス日時などに不審な点がないか確認する。
・Web サイトの更新ができるコンピュータがマルウェアに感染していないか確認する。



ムズカシイ文字だらけで、ちょっと頭が痛くなりそうですが……(@_@;)
ハッキリ言って私も自信のない部分が多いので、不備な点や勘違いがあるかもしれません。
詳細は下記の参考サイトをご覧くださいませ。

ウェブサイト管理者へ:ウェブサイト改ざんに関する注意喚起
一般利用者へ:改ざんされたウェブサイトからのウイルス感染に関する注意喚起
(情報処理推進機構2010年1月8日付)
Web サイト改ざん及びいわゆる Gumblar ウイルス感染拡大に関する注意喚起JPCERT/CC 2010年1月7日付)
新手の正規サイト改ざん(2):一般ユーザーの方、サイト管理者の方へ(So-netのセキュリティ通信2009年12月28日付)
急増するサイト改ざんとGumblar感染、対策の速やかな実施を(ITmediaエンタープライズ2010年1月7日付)
JPCERT/CC、Web サイト改ざんおよび Gumblar ウイルス感染拡大に関して注意喚起(japan.internet.com2010年1月8日付)


昨年5月にも、自分のPC&サイトがウイルス感染していないか必死こいて調べましたが、
今また亜種が流行中、ということなので、改めてチェックしてみたりしました。
それにしても、ウェブでも現実でもウイルスが猛威を奮っているとは……orz
皆様も手洗い・うがいと各種PCソフトの最新版更新などで、
しっかり自己防衛してまいりましょうね!
関連記事

コメント

そういやそんなのあったなぁ…

と懐かしく感じます。GENO
某人型決戦兵器(違)のプラモデルみたいな名前だったとは
初耳ですが。

なんにしても、開発者でもないのにJavaなんてインストールするもんじゃないなと当時思いました。
(AdobeさんのももちろんOFFってました)
個別のJavaランタイムって頻繁にいちいちアップデート告知してきて鬱陶しいし。

Webサイトとしても、そういった外部プラグインを必要とする設計っていうのはユーザーフレンドリーじゃ無いと言えるのでは。。とも思います。

しかし、生身同様気につけていてもどこからか感染するのがウイルスで、
気をつけているつもりでも定期的なチェックは不可欠ですよねー…。

と雑感のようなつかみどころの無いコメントですみませんw

2010/01/12 (Tue) 21:00 | クロマ | 編集 | 返信

クロマさん、いらっしゃいませ♪

>Java
外部プラグインを要するWEBサイトって、意外と多いですよねぇ…。

>AdobeさんのももちろんOFFってました
私もそうしてました。

>Webサイトとしても、そういった外部プラグインを必要とする設計っていうのは
>ユーザーフレンドリーじゃ無いと言えるのでは。。とも思います。
私も、外部プラグイン(JREとかw)はなるべくインストールしたくないので、
閲覧時にインストールを求められると、「じゃあやーめた」と
そのWEBサイトを見るのを諦めることが多いですねw

個人WEBサイトの運営管理人さんには、
ホームページビルダーなどを使ってサイトを構築している方が多いと思うんですが、
その場合、自分でソースを見ても、
どれが「追加された不審な文字列」か発見できるのかしら…?
と、ふと心配になったりしました。

私の場合、自分のサイトは全部自分でポチポチ打ったものなので、
自サイトのソースを見れば、書いてある文字列の意味はわかっていますし、
もし改ざんされていれば、すぐ見つけられると思いますが、
なにしろ、ファイル数がゆうに360を超えているので…orz

とはいえ、私は全部独学ですし、
JavaとJavaScriptの違いを詳細に説明できない知識レベルなので、
(よく言われる例えで、
「ブラックジャック」と「ブラックジャックによろしく」ぐらい違うことは解ってますww)
コンピュータウイルスには戦々恐々です。

クロマさんのようにお精しい方は頼もしいですね…!
教えて、エ〇イ人!!(笑)

2010/01/13 (Wed) 00:48 | 杏月 | 編集 | 返信

コメントの投稿

非公開コメント

トラックバック

上記広告は1ヶ月以上更新のないブログに表示されています。新しい記事を書くことで広告を消せます。