誘導型コンピュータ・ウイルス「Gumblar(ガンブラー)」によるWebサイトの改竄(かいざん)を通じて、サイト閲覧者をマルウェアに感染させる攻撃が多発している問題で、米Symantecは攻撃の発見を遅らせる新たな手口が見つかったと伝えた。


この問題では、何らかの手法で第三者がWebサイトに不正なリンクを埋め込むなどの改竄を行い、サイト閲覧者が改竄されたサイトを閲覧すると、自動的にリンク先の悪質サイトから不正プログラムがダウンロードされてしまう。


Symantecによれば、Webサイトに埋め込まれるリンクに「/*GNU GPL*/」「/*CODE1*/」で始まる2つの文字列がこれまでに確認されていたが、新たに「/*LGPL*/」という文字列が見つかった。



これは難読化されたJavaScriptで、解読すると広く知られたWebサイトのURLが列記されている。


同社は、攻撃者がセキュリティ対策を迂回する狙いでこうした仕組みを取り入れただろうと指摘している。


実際のドメイン名は「thechocolateweb.ru」に帰結し、ほかに表示されるURLは関係ないという。



攻撃は2009年春ごろから増加しており、年末年始にかけて国内の多数の企業サイトが改竄被害を受けていることが判明している。



当初は不正なリンク先の悪質サイトが「gambler.cn」だったことから、このサイトで感染する不正プログラムは「Gumblar」などと呼ばれていた。


現在ではリンク先のドメインが常に変化し、ダウンロードされる不正プログラムの特徴も頻繁に変わっている。

 

社によれば、悪質サイトに誘導されるとAdobe AcrobatやReader、Java Runtime Environment(JRE)、Java Development Kitなどに存在する脆弱性を突く不審なPDFファイルなどがダウンロードされる。


この不審なファイルがさらにトロイの木馬ボット型の不正プログラム、ユーザーを恐喝して金銭を要求する偽セキュリティソフトなどを呼び込むとしている。



悪用される脆弱性には、Adobeが1月12日(日本時間13日)に公開予定のセキュリティアップデートで対処するものが含まれており、Symantecは「ウイルス定義ファイルを最新状態に維持する」などの対策を徹底してほしいと呼び掛けている。



一方、KDDIおよびKDDI研究所は15日、両社が開発した「Web改竄(かいざん)検知システム」を改良し、感染が拡大中のコンピュータ・ウイルス「Gumblar」(ガンブラー)による改ざんも検知できるよう対応したことを発表した。


「Gumblar」によってWebが改竄されると、コンピュータ・ウイルス配布サイトへ誘導するスクリプトやリンクが挿入されたり、機械的な改ざん文字の挿入によりHTML構文が崩れていることがあるという。



改良されたシステムでは、挿入されるスクリプトなどの特徴をパラメータ化し、重み付けを行った上で総合的に改竄を判定することで誤検知を低減させた。


また改竄はWebサイトのトップページよりも、製品・サービスの紹介や求人案内といった階層の深いページで発生していることが多いため、トップページのURLを指定するだけでホームページのリンク構造を解析し、リンク先のファイルを自動的に解析するようにした。


これらの改良により、「Gumblar」による改竄を検知可能としたという。


現在「Gumblar」により挿入されるスクリプトのパターンは、確認されているだけでも約30パターンあるとのことである。


Gumblarは亜種が登場するなど猛威を振るっており、今後もパターンの増加が予想される。


両社は引き続き改竄の特徴を調査分析し、システムに反映していく予定だそうだ。