シマンテックは5月26日、都内の本社で「Gumblar」に関する記者説明会を開催した。Gumblarは、GENOやJSRedir-Rとも呼ばれるウイルス(トロイの木馬)で、4月から5月にかけて世界中で大感染した。
アドビ製品の脆弱性を使って感染拡大
今回Gumblarの説明を行なったのは、シマンテックのセキュリティレスポンス主任研究員である林薫氏。同氏によると、同社の侵入検知機能(IPS:Intrusion Prevention System)のログによると、Gamblarによる不正サイトへのアクセスは5月11日に急増したが、攻撃者のサイトが閉鎖されたことから、5月13日をピークに減少している。
シマンテックのIPSが検知したgumblar.cnとその後継「martuz.cn」へのアクセスログ
Gumblarの活動の大半は、攻撃者サイトを使って行なう。ユーザーのPCに感染するウイルスも、改ざんされたWebサイトではなくオリジナルの攻撃者サイトに用意されているという。そのため、攻撃者サイトが閉鎖された現在、新たなウイルス感染は収まってきている。
Gumblarの活動内容は、大きく2つに分けられる。まず改ざんされたWebサイトへのアクセスをユーザーが気づかないうちに攻撃者サイトにリダイレクトする。その後、細工をしたPDFやFlashコンテンツを使って、脆弱性のあるAdobe ReaderやFlashがインストールされたユーザーのPCに侵入するするフェーズだ。このPCに侵入するウイルスをシマンテックでは「Infostealer.Daonol」と呼んでいる。
Gumblarの感染手法
もう1つは、ユーザーのPCに感染した後の活動だ。PCに感染したInfostealer.Daonolは通信内容を監視し続け、FTPサーバへのアクセスを検知するとそのIDとパスワードを盗み、攻撃者のWebサイトに送信する。攻撃者はIDとパスワードを使ってWebサイトを改ざんし、悪意あるスクリプトを埋め込む。
感染したGumblarの挙動
加えてGumblarは、感染したPC上で「検索結果の書き換え」や「ミスリーディングアプリケーション」のインストール、検出・駆除の防止、そしてボットネットの構築といった挙動も行なう。
検索結果の書き換えは、GoogleとYahoo!の検索結果のURLを誘導したいサイトのURLに書き換えてしまうものだ。たとえば、Googleで「アスキーjp」を検索すると、「ASCII.jp - トップ」というリンクが出てくるが、これをクリックすると関係ないサイトに飛ばされてしまうといったイメージだ。
またミスリーディングアプリケーションとは、セキュリティソフトを装い「ウイルスを見つけました。駆除するには製品版が必要です」といった嘘の警告を出し、偽のセキュリティソフト販売サイトに誘導するもの。販売サイトでクレジットカード番号を入力すると、盗まれてしまうといった仕掛けを持つ。
ウイルス対策ソフトのみではもはや危険?IPSも必要か
Gumblarの特徴の1つは、Webサイトの改ざんを攻撃者が手動で行なう点だ。Webサイトに埋め込まれたスクリプトは内容を分かりにくくする「難読化」が施されているのだが、その難読化の方法がWebサイトごとに異なっているという。そのため、パターンファイルによる対応が難しく、ウイルス対策ソフトによる対応が遅れる原因になったようだ(現在は対応済み)。
ただし、対処法がなかったわけではない。シマンテックのセキュリティソフト「ノートンインターネットセキュリティ」と「ノートン360」が搭載するIPSは、アドビ製品の脆弱性を利用する攻撃への対処を2008年11月には済ませていた。そのため、両製品を利用しているユーザーは、改ざんされたWebサイトにアクセスしても、攻撃者のサイトにリダイレクトされることはなかったという。また、万が一攻撃者のサイトにアクセスしても、脆弱性を利用する攻撃による被害を受けない状態だったという。
ウイルスの被害からPCを守るには、Windowsやアプリケーションのアップデート、セキュリティソフトの定義ファイルの更新といった基本的な対策が大切になる。しかし、Gumblarの場合、感染の拡大からウイルス対策の定義ファイル提供まではタイムラグが生じており、またアドビによる脆弱性対策も適切とはいえなかった。
PCのセキュリティとしては、ウイルス対策ソフトさえ入れておけば大丈夫。そうした考え方はもはや危険であり、IPSとウイルス対策という多段的な防御が必要となる。Gumblarはこうした現状を象徴するウイルスといえるだろう。
