「PC利用者に知ってほしいGumblar型攻撃の影響」シマンテックの見解。

報道によれば、「Webサイト改竄(かいざん)を通じてマルウェア感染を狙うGumblar型攻撃がコンピュータ利用者に与える影響」について、シマンテックが分析結果などを交えて注意を呼び掛けたとのことだ。


下の地図を注目してもらいたい。

FireBlueのああ無常。←“無情”かも(~_~&#59;)-世界でのTrojan.Bredolabの感染状況


これは「世界でのTrojan.Bredolabの感染状況」を表したものだ。

地図上の色が濃いほど感染報告が多い。

改竄(かいざん)されたWebサイトなどを通じてマルウェア(=不正プログラム)感染を狙う通称 Gumblar 型攻撃が、コンピュータ利用者へどのような影響を与えるのか?」について、大手セキュリティ・ベンダーのシマンテックは3月9日、報道機関へGumblar型攻撃の分析結果などを説明するとともに、コンピュータ利用者へ改めて注意を呼び掛けた。



Gumblar型攻撃の流行は、「2009年4月頃と同年夏頃から現在まで続く2回起きている。」という。


前者では、「攻撃者がWebサイトの管理用アカウントを不正に入手して、Webサイトへ外部の攻撃サイトへのリンクを埋め込みコンピュータ利用者が改竄(かいざん)されたWebサイトを閲覧すると、外部サイトへ自動的に誘導されてマルウェアがダウンロードされるこのマルウェアが実行されると、コンピュータ利用者がFTPを利用している場合に、このFTPアカウントの情報を盗んで攻撃者へ通する。」という仕組みだった。


 

シマンテックによると、同年夏ごろから現在まで続く攻撃では前者の手口に加えて、攻撃者は感染したパソコンへダウンローダー型のトロイの木馬「Trojan.Bredolab」を送り込む手口が出現した。


同社では「2009年5月にTrojan.Bredolabを発見しており、現在では1日に無数の亜種が見つかる。」という。


これにより、攻撃者は感染したパソコンTrojan.Bredolabを通じて、幾つもの異なるマルウェアを感染させることができるようになるのである。


感染したパソコンからは、FTP以外にもさまざまなアカウント情報クレジットカード情報などが盗まれてしまうほか、攻撃者による遠隔からの不正操偽セキュリティ対策ソフトを使った詐アドウェアによるホップアップ広告攻撃などの被害に遭ってしまうことになる。


尚、Trojan.Bredolabは、Gumblar型攻撃以外にさまざまなフィッシング詐欺メールも出回っており、これまでSNSサイトや宅配業者などを騙るものが発見されている。



セキュリティレスポンス主任研究員の報告によると、攻撃者の狙いは「Trojan.Bredolabに感染したパソコンを増やし、犯罪者へ感染したコンピュータへの攻撃手段を有償で提供するためではないか」とのことだ。


このため、感染したパソコンで発生する症状には、先の挙げたようなさまざまなものがあり、対処方法も一筋縄ではいかない。


セキュリティレスポンス主任研究員は、この状況がGumblar型攻撃の収束につながらない要因になっているだろうと指摘している。

 


過去2週間に同社へ寄せられた感染報告では、Trojan.Bredolabの感染が目立つのが日本アメリカであり、Trojan.Bredolabを経由して感染する偽セキュリティ対策ソフトSeurity Tools」でも同様の状況になった。


また、日本ではアカウント情報などを盗み出すマルウェアや、不正操作を行うボットの感染報告も多い。


従来から「日本のマルウェア感染は海外に比べて少ない。」と言われてきたものの、Trojan.Bredolabでは日本の感染被害が目立つ状況になった。


サイバー攻撃の大半は英語で行われているので、日本人が警戒しやすい環境があった。しかし、Trojan.Bredolabなどの被害が日本で多い理由は現在ではまだ判明していない。


予想される要因としては、「2009年4月ごろの流行で攻撃者が日本から多くのFTP情報を盗み出せた可能性があり、日本を集中的に狙うようになったのではないか。」ということぐらいだ。



同社では「Trojan.BredolabなどGumblar型攻撃に関連するマルウェアへの感染が疑われる場合、感染していないパソコンによるパスワードの変更、USBメモリやファイル共有を経由した二次被害の確認、感染したパソコンの再インストール。」を推奨している。



感染を防止するには、


1セキュリティアップデートの徹底

2ソーシャルエンジニアリング攻撃の理解

3パスワード管理ツールの活用

4FTPやTelnetなどセキュアではないプロトコルを使わないこと

5IPS/IDS(不正侵入防御/検知)装置での不審な通信の確認


などが有効である。


 

尚、Trojan.Bredolabが攻撃者のサイトと通信する内容は暗号化され、攻撃者のサイトのドメインやIPアドレスも頻繁に変更されていることから、IPS/IDSなどで不審な通信を監視する場合は内容を注意深く確認していく必要がある。

 

プロダクトマーケティングマネジャーの話、「当社としても感染を予防するための最大限の努力を継続しているが、万が一に備えてコンピュータの環境をこまめにバックアップしておくなど、感染後も迅速に復旧できる手段を講じておいてほしい」と呼び掛けている。