最近、いくつかの有名な会社のWebサイトが「Gumblar」によって改竄されたというニュースが何度も報道されていますが、「Gumblar」とはいったい何なのでしょうか？
「Gumblar」とは一般的なウィルス（マルウェア）の名称ではなく、Webにアクセスすることによって、ウィルスをダウンロードさせ、感染させる「ウィルス」「マルウェア」「スパイウェア」などの総称で、2009年末から2010年初頭にかけて被害が拡大しているようです。

数年前にもWebが改竄されたというニュースが流れていましたが、その際には、サイト全体がまったく違うものになっていて、比較的すぐに改竄が発見されていました。
Gumblarの攻撃では、HTMLの中に呪文のようなスクリプトの記述が書き込まれて、サイトにアクセスしたPCに、ウィルスをダウンロードさせて感染させるので、見た目にはまったく変化がなく、感染の発見が遅れるために被害が拡大するのが特徴的です。

●Gumblarの攻撃の流れ

▲ 出展：独立行政法人 情報処理推進機構 セキュリティセンター(IPA/ISEC)

Gumblarの攻撃では、概ね以下のような流れでWebサイトの改竄が行われているようです。

1. Webサイトを更新するためのPCに、何らかの方法でウィルスを感染させる
   
2. そのPCからWebサイトを更新するためのアクセス情報（ID、パスワードなど）を盗み出す
   
3. 盗み出したアクセス情報を使って、Webサイトにアクセスする（今のところFTPを使っているようです）
4. Webサイトにアクセスした際に、アクセスしたPCにウィルスをダウンロードさせるようなソース（呪文のような記述）を仕込む
5. WebサイトにアクセスしたPCに感染する
6. 感染したPCからアクセス情報を盗んで、Webサイトを改竄する（感染が拡大）
   １の「何らかの方法」というのは、感染したサイトを閲覧した場合や、メール、USBなどの外部メディア、ネットワーク経由で進入してなどの方法が考えられます。

つまり、Webサイトを更新するために使用しているPCが、ウィルスに感染することによって、Webサイトが改竄され、さらにはWebサイトを閲覧した別のPCが感染することによって、拡大しているわけです。

●Gumblarを防ぐには

Gumblarを防ぐには、PCがウィルスなどに感染しないようにすることが重要です。
極端な話、Webサイトを更新するとき以外は、ネットワークに接続しないようにできれば、感染のリスクはかなり低くなる（USBなどのメディアからの感染リスクはゼロではないので）のですが、Web管理者にとっては非常に不便です。

PCが感染しなければ、マルウェアにWebサイトのアクセス情報を盗まれることもないので、改竄される危険性は低くなります。

独立行政法人情報処理推進機構セキュリティセンター(IPA/ISEC)では、PC利用者は、最低限下記のような対策を実施することを推奨しています。

• OSを最新の状態に更新し、脆弱性（セキュリティホール）を解消しておく
  
• インストールされているアプリケーションソフト（インターネット閲覧ソフト、メールソフト、動画閲覧ソフト、ドキュメントファイル閲覧ソフトなど）の修正プログラムを適用し、最新のバージョンに更新して脆弱性を解消しておく
  
• セキュリティ対策ソフトを導入し、そのパターンファイルを常に最新の状態にして、ウィルス検知機能を有効にして使用する

上記以外にも、Webサイトを更新する際に使用しているPCを限定したり、定期的にパスワードを変更することなどでも、感染リスクを下げることができます。

もしも、感染してしまった場合、最悪PCが全く反応しなくなり、OSの再インストールが必要になる場合もあるので、重要なデータはこまめにバックアップしておくことを推奨しています。

●早期発見が重要

Gumblarのようなマルウェアによる攻撃は、インフルエンザと同じように、100％防ぐことは困難ですが、早期に発見して対策をとることが拡大を防ぐ最も有効な手段となります。

感染している（改竄されている）ことに気付くまでの間に、サイトを閲覧したPCは、二次感染の脅威に晒されているということになりますので、早期に発見して、適切な対応を実施することが重要になります。

早期に発見するためには、日ごろから下記のような確認を実施することが、すぐにできることとして挙げられます。

• FTPのアクセスログを確認する
  更新作業を実施した日時以外にアクセスしている形跡はないかを確認
• ファイルの更新日時を確認する
  更新作業を実施したはずの無い日時にははなっていないかを確認

あまり手間をかけたくない場合には、Webサイトの診断を定期的に実施するサービスもあるようなので、そのようなサービスを導入するのも有効な手段の一つでしょう。

●万が一、Webサイトが改竄されてしまったら

Webサイトが改竄されてしまった場合は、感染を拡大させないために、大至急サイトを閉鎖して、マルウェアに感染していないかを確認し、修正を実施します。

また、更新作業に使用しているPCをネットワークから切り離し、ウィルスチェックソフトで感染を確認し、感染してた場合には駆除を実施する必要があります。

●まとめ

Gumblarによる、Webサイトの改竄を防ぐためには、

1. 更新作業用のPCを限定する（アクセスを限定的にする）
2. FTPなどのパスワードは定期的に変更する
3. セキュリティ対策ソフトを導入し、常に最新の状態にしておく
4. 更新作業用のPCでは、安全が確認できないようなサイトは閲覧しないといったことが重要です。

＜参考サイト＞

• 改竄ウイルス「ガンブラー」猛威　どこから、何が目的、対策は？ - MSN産経ニュース
  http://sankei.jp.msn.com/economy/it/100111/its1001111801001-n1.htm
• Webからの脅威「Gumblar」（ガンブラー） - 検証ラボ：ウイルスを観察してみる：ITpro
  http://itpro.nikkeibp.co.jp/article/COLUMN/20090727/334548/?ST=securityhole
• 新ウイルスGumblar（ガンブラー）とは | Gumblar（ガンブラー）対策について McAfee
  http://www.mcafee.com/japan/security/gumblar.asp
• 情報処理推進機構：情報セキュリティ：ウェブサイト管理者へ：ウェブサイト改ざんに関する注意喚起 一般利用者へ：改ざんされたウェブサイトからのウイルス感染に関する注意喚起
  http://www.ipa.go.jp/security/topics/20091224.html

- [ 森谷 真一 ] -