パスワードを忘れた? アカウント作成
183341 story
セキュリティ

Gumblarウイルスの被害広まる、Yahoo! Japanでも改ざん発覚 102

ストーリー by hylom
あなたが閲覧しているサイトも感染しているかもしれませんよ……? 部門より

「Gumblar(ガンブラー)」というウイルス(およびその亜種)によるWebページの改ざんが広まっているが、Yahoo! JapanでもGumblar亜種によるHTMLの改ざんが確認された。問題となったのは、「Yahoo! 占い」のコンテンツ「鏡リュウジの星に願いを」(ヤフーの発表)。

改ざんされた期間は2009年10月27日の10:10から2010年1月8日の14:10までとのこと。この期間中に対象のWebページを閲覧していた場合、Gumblar亜種に感染した可能性があるという。

Gumblarやその亜種による改ざん被害は昨年末から多く報告されており、So-net セキュリティ通信によるとハウス食品、京王電鉄、民主党、ローソン、ディズニー、本田技研工業、JR東日本など、大手企業や有名団体での感染例も多い。

Gumblarは感染したPCからFTPアカウント情報を盗み取ってWebサイトの改ざんを行うため、被害が広まっているようだ。/.J読者の皆様も注意していただきたい。

なお、マイコミジャーナルSo-net セキュリティ通信によると、Gumblar亜種は複数存在しており、実行されるコードや攻撃に利用するURL、ダウンロードされるマルウェアなどが異なり、また亜種によって防御策や対処方法が異なるため注意が必要、とのこと。

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • Gumblerのおかげで (スコア:5, すばらしい洞察)

    by Anonymous Coward on 2010年01月13日 16時56分 (#1702186)

    「怪しいサイトのリンクはクリックしない」とかいう無意味極まりない馬鹿げた「対策」の指南が絶滅してくれたのが嬉しい。

    • Re:Gumblerのおかげで (スコア:1, すばらしい洞察)

      by Anonymous Coward on 2010年01月13日 17時17分 (#1702198)

      あとは、かたくなに「今まで○年使ってるけど怪しい体験をしたことがないからアンチウィルスソフトはいらない」という
      生兵法極まりない馬鹿げた人の絶滅が残ってますね!

      親コメント
      • Re:Gumblarのおかげで (スコア:1, すばらしい洞察)

        by Anonymous Coward on 2010年01月13日 18時00分 (#1702227)

        ※サブジェクトがtypoってたので修正
        どちらかというと「Windows UpdateとかAdobr ReaderやFlash Playerを最新にしてくださいとか面倒だし、ウイルス対策ソフト(ただし期限切れ)が入ってるからいいよね」という人を絶滅させてほしいです。
        Security Essentialsでも期限切れの試用版よりは確実にマシですから何とかしてくださいほんとに。

        親コメント
      • by Anonymous Coward
        正しくGamblerですなw
      • by Anonymous Coward
        アンチウイルスソフト入れてて防げたんですか?
    • by Anonymous Coward on 2010年01月13日 18時31分 (#1702246)

      え?

      「怪しいサイトのリンクはクリックしない」だけでOKなんて言ってる人いたの?

      数ある対策の内の一つでしょ?

      親コメント
      • >数ある対策の内の一つでしょ?

        「怪しい」なんてハッキリしない基準ではどうにもこうにも。

        一つとして数えることすらできないよって話では?

        親コメント
        • Re: (スコア:0, すばらしい洞察)

          by Anonymous Coward

          でも、基本的には自分の中の基準で判断するしかないでしょ。
          生きてくってのはそんな曖昧判断の連続なんだからさ。

          精度はともかく、「怪しい」って判断が自分で全く下せないなら
          人間というか動物未満だと思うよ。

    • by Anonymous Coward

      >「怪しいサイトのリンクはクリックしない」とかいう無意味極まりない馬鹿げた「対策」の指南

      いや、なくなると困る。
      「クリックしたら個人情報をとられてしまいました」「いくら消しても消えません」系の泣き言を言ってくる輩がまだまだ多い。
      なんでもかんでもGumblerのせいにはさせないからな。

  • 『ガンブラー』はウイルスの名前ではない
    ウイルスをダウンロードさせる「攻撃」のこと。

    とシマンテックさんがおっしゃってるらしいです。

    http://itpro.nikkeibp.co.jp/article/NEWS/20100113/343113/ [nikkeibp.co.jp]

    詳しいことは分からないので他の方のコメントに期待したいのですが、
    今、目の前に現れた二つの見出しが

    ・『ガンブラー』はウイルスの名前ではない
    ・Gumblarウイルスの被害広まる
    の2つだったので気になりました。

  • Gumblar に対応したAdobe、Reader/Acrobatの更新プログラムがリリース [mycom.co.jp]されたようです。

    プレスリリース:Adobe - Security Bulletin APSB10-02 Security Advisory for Adobe Reader and Acrobat [adobe.com](英語しか見つからなかった)

  • by Anonymous Coward on 2010年01月13日 18時03分 (#1702230)

    Gumblar が蔓延してるよ、凄いよ、怖いんだよ、っていうニュースはよく見ますが、対策が分からないんですよね。
    感染してるかどうかどうやったら分かるんでしょう?

    • Re:確認方法は? (スコア:2, 参考になる)

      by Rodin (28411) on 2010年01月14日 7時40分 (#1702450)

      (1) 導入済のセキュリティソフトで検査。
      (2) 他社のオンラインスキャンで検査。
      (3) (1)(2)で駆除できない怪しいファイルが見つかったらVirus Total [virustotal.com]で検査。
      (4) (3)で検出した他社メーカーが無料版・体験版(駆除機能付)を提供していたら、それで駆除を試みる。
      (5) (1)のメーカーが信用できなければ乗換を検討。

      セキュリティソフトメーカーの真価が試されています。

      --
      匠気だけでは商機なく、正気なだけでは勝機なし。
      親コメント
    • それに付随して、
      当方は個人でVPS借りてWebサーバ立てているんですが、そこにGumblarが感染しているのかいないのか
      確認する方法って……言及しているトコロがないんですよ。

      個人のPCにGumblar入っているかどうか確認する手段についての情報はあるんですけどね。

      /.Jのアニキの皆さま、ご存じありませんでしょうか?

      ちなみに自分はclamavで/からウイルスチェックかけて、かつhtdocs以下を一旦ローカルPCにダウンロードして
      PC側のウイルスチェッカーでスキャンしました。
      一応驚異の検出は0件だったけどそれだけでOKなのだろうか?

      ちなみにファイル転送にはずーっとWinSCPを使っています。
      サーバのOSはlinuxです。
      --
      ---- ばくさん!@一応IT土方
      親コメント
      • > 驚異の検出は0件

        大自然の驚異っつーか (^^)

        --
        みんつ
        親コメント
      • by TIO (10391) on 2010年01月14日 13時51分 (#1702677)
         PCに関する対策や感染した結果についての情報はたくさんありますが、Gumblarによってコンテンツファイルを書き換えられた確認手段は見つかりませんでした。
         Gumblarの亜種によって追加されるJavaScriptの記述が異なるため、容易な検出の方法がないということだと思います。

         私が調べた限りですが、ウェブサーバ上に存在するバイナリ以外のファイルのリストを作成し、Gumblarが記述するJavaScriptにある、'function'、'eval'、'unescape'が1行に存在するファイルを検索して見つけ出しました。
         具体的には、

         $ find "ウェブコンテンツファイルへのパス" -type f -iname '*.html' -o -iname '*.htm' -o -iname '*.php' |xargs grep 'unescape' |grep 'eval'|grep 'replace'

         といったようなコマンドを実行しました。この手法で私は顧客に提供しているサーバを調査したのですが、2つほど発見することが出来ています。
         もちろん、この方法では、Gumblar以外のJavaScriptもかかりますので、検索結果で得たファイルを目視する作業が発生します。
         #特に".js"を対象とすると、確認が大変です。Xoops関連のjsは多く誤検知します。

         上記で発見したGumblarウィルスによって書き換えれらたファイルに関するFTPログをみた所、海外のIPアドレスでFTPログインし、[index.html]などのファイルをダウンロードし、すぐにアップロードし直すという挙動が見られました。
         このため、[xferlog]から、同一のファイルに対して、ダウンロード、直後にアップロードしているパターンを見つけ、対応しております。

         Gumblarウィルスによって書き換えれらたファイルを発見出来たとはいえ、この手法の有効度も不透明で、不安はあります。
         自分で管理しているサーバ、内容を把握しているウェブサイトであれば、FTPログインをIPアドレスで制限するとか、そもそもFTPを空けないとかもっと簡単な方法があるかと思います。

         他の皆様は、特に自分で好きなように出来ない顧客のサーバを運用されている方は、どう対処されているのか気になります。
        親コメント
    • by denchu (6847) on 2010年01月14日 0時02分 (#1702376)

      感染してるかどうかどうやったら分かるんでしょう?

      亜種が多すぎて、感染しているかどうかの確認が難しい気がします。
      msconfig 等で起動時に走っているプログラムを調べるのがいいのかな?
      とは思っていますが、これも完璧じゃないですし。

      親コメント
    • by Anonymous Coward
      >どうやったら分かるんでしょう?
      考えて調べれば判ると思います。
      • by Anonymous Coward

        いやそれが、亜種いっぱいで情報が錯綜しているので簡単には判らないのも問題です。
        もし判ったんだったら、その良いサイトを教えてもらえると流行終熄に役立つと思います。

        • by Anonymous Coward

          ちょっとググってみました。
          ここ [hatena.ne.jp]とかどうでしょう?

  • by Anonymous Coward on 2010年01月14日 9時47分 (#1702481)
    Gumblarの難読化されたJavaScriptを解読して見ると、

    > if(
    > (u.indexOf("Chrome")<0)&&(u.indexOf("Win")>0)&&(u.indexOf("NT 6")<0)

    というように、Google Chromeの場合だけ攻撃スクリプトを読みこまないように
    されていました。

    Vista/Win7を除外しているのは、UACが発動してバレルからだと思いますが、
    Google Chromeを除外している理由がわかりません。

    当初はChrome除外はしていなかったようですが、いつの亜種からか
    Chromeを除外するようになったようです。
  • 対策 (スコア:1, 興味深い)

    by Anonymous Coward on 2010年01月13日 17時15分 (#1702195)

    Gumblarは感染したPCからFTPアカウント情報を盗み取ってWebサイトの改ざんを行うため、被害が広まっているようだ。

    じゃ、FTPポート塞いで、sshのみにしているサーバなら大丈夫なの? 今時当たり前すぎる措置だけど、流行っているとこみると、これだけじゃダメなのかな?

    • by Anonymous Coward

      >FTPポート塞いで、sshのみにしているサーバなら大丈夫なの?
      >今時当たり前すぎる措置だけど

      何を根拠に。
      FTPのみを開放しているサイトなんて、いくらでもあるでしょう。
      SSHだとchrootが面倒とか、もろもろの理由で。

  • おいおい (スコア:1, 興味深い)

    by Anonymous Coward on 2010年01月13日 17時30分 (#1702207)

    > Gumblarは感染したPCからFTPアカウント情報を盗み取って
    この勘違いがここまで感染を広めた理由の一つじゃないの? 感染したPCと同じセグメント上でFTP使ったらアウトだよ。

    • Re:おいおい (スコア:3, 興味深い)

      by Anonymous Coward on 2010年01月13日 18時38分 (#1702252)

      ソース2chだけど、放置状態だったウェブサイトを改竄された話がありました。
      FFFTPの設定(iniファイルかレジストリかは不明)からアカウントを窃取されたとか。

      解析したわけじゃないけど、アカウント窃取の手段を複数持っていることは十分考えられます。
      設定情報読み取り、キーロガー、パケット監視、いずれも等しく注意する必要があるでしょう。
      SFTPでもパスワード認証ならWinSCP等クライアントの設定からアカウントを盗まれることがあり得ます。

      親コメント
      • by i_i (22332) on 2010年01月14日 23時09分 (#1702990) 日記

        「認証情報を窃取してよそから不正侵入」という点自体もC&Cだったら変え放題ですよね。
        例えばFTPクライアントのファイル読み取り動作をフックしてコンテンツ書き換えちゃうとか、感染PC内のボット自身がFTPサーバにアクセスするとか…

        というか、大手企業のWebサーバでこんなに接続元制限していない所が多いなんて正直信じられない。

        親コメント
      • by Anonymous Coward

        FFFTPのアカウント設定はレジストリに記録されている(=FFFTPのインストール
        パスに依存しない)ので比較的抜きやすいでしょうね。

    • by Anonymous Coward
      あれはNICでパケット監視するものだったんですか。キーロガーじゃないのかとか、色々噂は出てたけど真相がよくわからず。IT系ニュースでもまともに解説されてないから、本当にFTPか?と疑ってたんですけど。まあいまどきバカハブなんか使ってないでしょ?
      被害にあった企業はFTP使ってるのもさることながら、なぜFWで接続元確認してないのかとか、色んなことがズサンな企業なんだなーと思ってます。
  • で、 (スコア:1, すばらしい洞察)

    by Anonymous Coward on 2010年01月13日 17時48分 (#1702218)

    どんな悪さをするウイルスなの?(クライアント的に) [srad.jp]って情報が相変わらず希薄なのはなにかの罠ですか?
    ・有名サイトがXX月YY日からWW月ZZ日まで改竄されていました
    ・ふーん、じゃあ、その間の情報はアテにならないのね
    で、終わっちゃいがちな気がするのですが。
    「こういう被害があって、お前たちにもこんな不利益があり得るからとりあえずアレコレしておけ」
    って情報がほしいんですが。

    • by gigo (21150) on 2010年01月13日 20時21分 (#1702292)

      改ざんされたページを閲覧するとウィルスがPCにダウンロードされ、そのPCの中のFTPの情報を使って、そのPCを使って管理しているWebサイトのページを改ざんするということで、サーバーとクライアントに交互に感染していくウィルスみたいですが正しいでしょうか?

      すると、制作会社とか、PCを使ってWebコンテンツを開発しているところが、Webサイトごとやられる、というのは理解できますが、ホームページもblogとか、google siteなどで作っている一般のユーザーでは、ウィルスをダウンロードしても、それ以上は影響がないように思いますがどうでしょう。最近、AppleのiWeb+mobileMeでWebサイトを作りましたが、これもアップロードにFTPを使っていないとすると、この手の攻撃にもちょっとだけ丈夫かも知れないと思いました。一方、使っている技術が、ftp、JavaとかAdobe Readerみたいな、どの機種にもある物と言われると、本当にwindowsしか感染しないのか心配になりますが。

      親コメント
    • Re: (スコア:0, フレームのもと)

      > 「こういう被害があって、お前たちにもこんな不利益があり得るからとりあえずアレコレしておけ」
      > って情報がほしいんですが。

      それはいろんなところで書かれているのですが、
      その程度のことを自分で調べられないような人は
      多分ここに書かれていてもやらないだろうから
      書くだけ無駄無駄無駄ァーーッ。

      簡単に説明すると、とりあえずPCを窓から投げ捨てればいいんじゃないかな。
      • by Anonymous Coward

        書くだけ無駄無駄無駄ァーーッ。

        簡単に説明すると、とりあえずPCを窓から投げ捨てればいいんじゃないかな。

        さすが127.0.0.1!オレたちに出来ないことを平然とやってのける!そこにシビレる!あこがれるゥ!!

      • by Anonymous Coward
        FFFTPをどうにかしてほしい。いつまでたっても日本でセキュアなファイル転送手段が普及しないのは確実にアレが原因の一つ。
        • by Elbereth (17793) on 2010年01月14日 22時15分 (#1702974)
          確かにFFFTPが問題の一つ、と言えるかも知れない。

          しかし、問題は他にもたくさんあり、sftpサービスを積極的に提供しない
          サーバー屋やISP、セキュアな通信手段を強く求めようとしない愚かなユーザー、
          sftp(もしくはscp)を使うよう声高に薦めないセキュリティ専門家、
          それぞれに問題があり、全てがからんで身動きが取れなくなっている。

          だから、奇特などこかの誰かが修正BSDライセンスで公開されているFFFTPのソースコードを
          いじって、sftpとscpの機能をつけて例えばFFFFTPと名前をつけて公開しても、
          一部の人は乗り換えるかもしれないけど、状況はほとんど変わらない。
          (※いやFFFFTPは紛らわしいからまずいって)

          状況を変えようと思ったら、たとえばOP25Bのように、サーバー屋やISPに影響力のある
          公的団体が音頭を取って、ftpを廃止しsftp/scpに移行するように、あるいはftpを
          廃止しないまでも限定的に提供する状態にもっていく段取りをつけて、何年かかけて
          やらないといけないだろうね。ソフト1つ槍玉にあげて攻撃するだけじゃどうにもならない。
          親コメント
        • by Anonymous Coward

          クライアントソフトの1つに原因を求めるのもどうかと。
          どれだけスパムのせいで不便になっても、電子メールがなくならないのと同じことでは。
          人が戦争みたいにばんばん死ぬくらいでないかぎり、FTPは使われ続けるでしょう。

    • by Anonymous Coward
      とりあえずダウンロードされてきたマルウェアがアンチウイルスに引っかかって、
      一日報告書と始末書作成で潰された莫迦が近くに居ますが……

      まあ、簡単に言えば、
      「どんなマルウェアが送り込まれて何をされてもおかしくないから、とりあえず
       アップデートできるものは片っ端から全てアップデートしておけ」
      ってところかな。

      # 感染者のPCを明日武装した※国海兵隊が押収に来ても驚きません。
      • by Anonymous Coward

        仕事でJavaを使ってるんですが、未だに1.4で動いてるシステムの保守のため、
        開発環境に古いJavaを入れざるを得ない状況です。
        こういう人、/.Jには多いと思うんですが皆さんどうされてますか?

        • by denchu (6847) on 2010年01月13日 23時52分 (#1702369)

          仕事でJavaを使ってるんですが、未だに1.4で動いてるシステムの保守のため、開発環境に古いJavaを入れざるを得ない状況です。
          こういう人、/.Jには多いと思うんですが皆さんどうされてますか?

          VirtualPC 上にその古いJava環境を構築して、そっちで保守。かな。
          多少面倒ではありますが、保守でしたら十分かと。

          親コメント
    • by Anonymous Coward

      情報があてにならないだけじゃなく、その間にそのホストからダウンロードしたファイル(閲覧したページ)はウイルスを含んでいるかもしれず、その間にそのホストからへ送信した情報は記録されているかもしれないってこと。

  • by Anonymous Coward on 2010年01月13日 17時32分 (#1702211)
    個人サイトならともかく企業サイトがこうぼんがぼんが改ざんされるってどう言う事マジで。
  • by Anonymous Coward on 2010年01月13日 20時06分 (#1702285)
    /.J はへーきなの?
    # 絶対安全なんてものは存在しないと思っているのでAC
    # あと知識も絶望的に足りないのでA(ry
typodupeerror

アレゲはアレゲ以上のなにものでもなさげ -- アレゲ研究家

読み込み中...