Gumblarウイルスに注意
2010年1月8日
JPCERTが、Gumblarに関して注意喚起を行った。
2010-01-08 [更新]
Web サイト改ざん及びいわゆる Gumblar ウイルス感染拡大に関する注意喚起
このウイルスは、webサイト及び一般ユーザーの両方に感染するタイプで、次のような生活環である。
1)Webサイト中では、不正なJavaScriptとして存在している。
2)一般ユーザーがこのようなWebサイトを閲覧すると、Acrobat Reader, Flash Player, Javaなどの脆弱性を付かれて、感染する。
3)感染した一般ユーザが、自らのwebサイトをFTPを用いて管理している場合、そのwebサイトにFTPにより感染する。
4)1-3の繰り返し。
従って、webサイトを管理しているユーザには要注意のもの。
JPCERTに拠ると、このウイルスが突いている脆弱性は、Acrobat Reader, Flash Player, Javaらしい。Acrobat Readerの脆弱性は、DEPを有効にすることで回避できるようだから、どうやらバッファーオーバーフローらしい。
FlashとJavaについては、次のページで最新版かどうかを確認して、そうでなければ最新版をインストールするように勧めている。
Adobe Flash Player:Version Information
Java ソフトウェアのインストール状況の確認
Acrobatの方は、1月8日現在、まだ修正パッチがでていないようで、『編集』→『環境設定』から、JavaScriptを無効にする必要がある。パッチは13日に公開されるそうである。PDFファイルのほとんどは、JavaScriptを必要としないだろうから、無効の状態でずっと使っていても、多くのユーザーには不具合はないものと考える。
このウイルスが使っている感染のテクニックは、2つ。
1)バッファーオーバーフローなどの、ソフトウエアの脆弱性
2)中間者攻撃による、インターネット通信の傍受となりすまし
1に関しては、とにかく利用しているソフトウエアを最新のものに保つことが必要。2を防ぐには、平文で情報をやり取りするFTPを使うのではなく、SCPなど、暗号化された方法を使うことが望ましい。これらが、基本の防御といえる。
他の防御方法として、ファイアーウォールにより、1・2いずれかもしくは両方を遮断することが考えられる。去年春ごろの流行では、これで1のかなりを防いでいたらしい。2の方も、内から外への接続も監視しておくことで、ある程度防げるはずである。
もうひとつの防御方法としては1→2の流れを遮断すること、例えばWebを閲覧するためのコンピューターとFTP接続をするためのコンピューターを別にするなどの方法が考えられる。Webを閲覧するためのコンピューターとしてVertualBoxなどの仮想PCを用いるのも有効である。これが逆のケース、つまり、FTP接続をするためのコンピューターとして仮想PCを用いるのは有効な方法とはいえない。VirtualBoxからの通信がGumblarに傍受されるからである。
今のところ、感染はWindowsをインストールしたPCを介して行われているようだ。しかし、感染メカニズムとしてはMacでも起こりうる。今後、そういった機能を持つの亜種が出てくる可能性は有る。
2010-01-08 [更新]
Web サイト改ざん及びいわゆる Gumblar ウイルス感染拡大に関する注意喚起
このウイルスは、webサイト及び一般ユーザーの両方に感染するタイプで、次のような生活環である。
1)Webサイト中では、不正なJavaScriptとして存在している。
2)一般ユーザーがこのようなWebサイトを閲覧すると、Acrobat Reader, Flash Player, Javaなどの脆弱性を付かれて、感染する。
3)感染した一般ユーザが、自らのwebサイトをFTPを用いて管理している場合、そのwebサイトにFTPにより感染する。
4)1-3の繰り返し。
従って、webサイトを管理しているユーザには要注意のもの。
JPCERTに拠ると、このウイルスが突いている脆弱性は、Acrobat Reader, Flash Player, Javaらしい。Acrobat Readerの脆弱性は、DEPを有効にすることで回避できるようだから、どうやらバッファーオーバーフローらしい。
FlashとJavaについては、次のページで最新版かどうかを確認して、そうでなければ最新版をインストールするように勧めている。
Adobe Flash Player:Version Information
Java ソフトウェアのインストール状況の確認
Acrobatの方は、1月8日現在、まだ修正パッチがでていないようで、『編集』→『環境設定』から、JavaScriptを無効にする必要がある。パッチは13日に公開されるそうである。PDFファイルのほとんどは、JavaScriptを必要としないだろうから、無効の状態でずっと使っていても、多くのユーザーには不具合はないものと考える。
このウイルスが使っている感染のテクニックは、2つ。
1)バッファーオーバーフローなどの、ソフトウエアの脆弱性
2)中間者攻撃による、インターネット通信の傍受となりすまし
1に関しては、とにかく利用しているソフトウエアを最新のものに保つことが必要。2を防ぐには、平文で情報をやり取りするFTPを使うのではなく、SCPなど、暗号化された方法を使うことが望ましい。これらが、基本の防御といえる。
他の防御方法として、ファイアーウォールにより、1・2いずれかもしくは両方を遮断することが考えられる。去年春ごろの流行では、これで1のかなりを防いでいたらしい。2の方も、内から外への接続も監視しておくことで、ある程度防げるはずである。
もうひとつの防御方法としては1→2の流れを遮断すること、例えばWebを閲覧するためのコンピューターとFTP接続をするためのコンピューターを別にするなどの方法が考えられる。Webを閲覧するためのコンピューターとしてVertualBoxなどの仮想PCを用いるのも有効である。これが逆のケース、つまり、FTP接続をするためのコンピューターとして仮想PCを用いるのは有効な方法とはいえない。VirtualBoxからの通信がGumblarに傍受されるからである。
今のところ、感染はWindowsをインストールしたPCを介して行われているようだ。しかし、感染メカニズムとしてはMacでも起こりうる。今後、そういった機能を持つの亜種が出てくる可能性は有る。
コメント
Kat (2010年1月8日 15:51:24)
http://internet.watch.impress.co.jp/docs/news/20100107_341003.html
ウイルスはPCの通信を監視し、FTPによる通信が行われるとIDとパスワードを抜き出し、その情報を特定のサイトに送信する。悪用者はこの情報を利用してFTPサーバーにアクセスし、HTMLファイルを書き換え、Webページにスクリプトを埋め込む。
とのことなので、感染PC内部でなりすまして接続するという、ワームのような形態ではないらしい。なので、サーバ側でFTPの接続を許すIPアドレスを限定するのも、対策としてある程度有効のようだ。
ただし、感染PCから直接webサイトを書き換えるような亜種が出現する可能性も有るので、注意。
ウイルスはPCの通信を監視し、FTPによる通信が行われるとIDとパスワードを抜き出し、その情報を特定のサイトに送信する。悪用者はこの情報を利用してFTPサーバーにアクセスし、HTMLファイルを書き換え、Webページにスクリプトを埋め込む。
とのことなので、感染PC内部でなりすまして接続するという、ワームのような形態ではないらしい。なので、サーバ側でFTPの接続を許すIPアドレスを限定するのも、対策としてある程度有効のようだ。
ただし、感染PCから直接webサイトを書き換えるような亜種が出現する可能性も有るので、注意。