ガンブラー(Gumblar)の猛威が止まらない。2009年の春に世界中で大感染をしたのちに、一時下火となったウイルスだが、2009年末から2010年にかけて国内大手企業のWebサイトを相次いで改ざんするなど、再び深刻な事態となっている。このガンブラーとはどのようなウイルスで、どのような被害を出しているのか。報道各社のニュース記事やセキュリティベンダーの解説サイト、さらにASCII.jpに掲載されたこれまでの記事を振り返りながら紹介していこう。
国内のガンブラー被害で最初に大きなニュースとなったのが、2009年4月4日頃に生じたPCショップが運営する通販サイト改ざん事件だろう。この影響で、ガンブラーには「GENO(ジェノ)ウイルス」という別名がついてしまった。もちろん国内のみで通用する別名であり、のちに多くのWebサイトが改ざんされるに至ったため、GENOウイルスと呼ぶケースは減ってきている。
ガンブラーの活動内容とは?
5月に入っても全世界規模で広がりを見せたガンブラーだが、5月の中頃には収束へ向かった。シマンテックが5月26日に開催した記者説明会では、ガンブラーの活動内容の解説とともに、収束の理由が紹介された。
それによると、「Gumblarの活動の大半は、攻撃者サイトを使って行なう。ユーザーのPCに感染するウイルスも、改ざんされたWebサイトではなくオリジナルの攻撃者サイトに用意されているという。そのため、攻撃者サイトが閉鎖された現在、新たなウイルス感染は収まってきている」とのことだった。なお、攻撃者サイトの初期のドメイン名は「gumblar.cn」であり、これがガンブラーという名称の由来となっている。
JPCERT/CCも5月19日に注意喚起を出しており、US-CERTからの情報として、攻撃者サイトに仕込まれたウイルスがユーザーのPCに感染する理由に、Adobe FlashやReader、Acrobatの脆弱性が利用されていると紹介。また、「ウイルスに感染するとFTPアカウント情報が盗まれ、ユーザーが管理しているWeb サイトを改ざんされ、さらなる攻撃に使用される可能性がある」としている。
2009年後半より大手サイトを次々改ざん
活動がいったん収束したガンブラーだが、2009年末にはまたもや被害が増え出した。Kaspersky Labs Japan(カスペルスキー)は10月23日に、Gumblarに酷似した新たなマルウェアを10月14日に検知したと発表。翌月には、「11月16日現在まででカスペルスキーではすでに国内の1250以上の感染サイトを確認」したとの続報を出した。
加えて、「カスペルスキー 情報サイト | JUST Kasperskyポータル」の情報では、「10月に脅威が確認されたGumblar(ガンブラー/別名 GENO)の新しい亜種は、6月に脅威をふるったものと被害例を見比べると、改ざんによって正規のホームページが感染源になっている点と、そのサイトにアクセスした PC が不正プログラムに感染させられ新たな感染源になって二次、三次の被害が拡大し続ける点が特徴です」としている。
そのあとも改ざんの被害は収まらず、2009年末から2010年初頭にかけて、JR東日本や本田技研工業、ローソン、ハウス食品、本田技研工業など、大手企業のWebサイト改ざんが明らかになった
(次ページ、「ガンブラーはウイルスではない?」に続く)