LAC WATCH

セキュリティとITの最新情報

RSS

注意喚起 | 

Gumblarおよびその亜種に関する大量の感染事例について

ラックのセキュリティ監視センターJSOCでは、お客様の内部ネットワークからの「Critical」(お客様環境において重大なセキュリティ上の脅威が発生している状態)検知が急増しており、Gumblar(別名: JSRedir-R)およびその亜種に関する大量の感染事例が確認されたため、本日、注意喚起を公表します。

JSOCにおけるCritical検知数の推移

ラックのセキュリティ監視サービス「マネージド・セキュリティ・サービス」では、IDS/IPSにオリジナルのシグネチャ(JSIG)を適用することで、ベンダーシグネチャやアンチウイルスソフトでは検出できない新種のGumblarを検知しております。11月16日に最新のJSIGを導入した結果、16日と17日のCritical検知数の急増につながっています。

18日時点では、複数のアンチウイルスソフトで新種のGumblarを検知できない事例を確認しています。Gumblarに感染したPCの有無については、ラックの情報漏えいチェックサービスで確認することができます。詳しくは、ラックまでお問い合わせください。

お問い合わせ

【Gumblarに感染した場合の脅威】

ホストがGumblarおよびその亜種に感染していた場合、該当ホストが接続されているネットワークで管理するFTPアカウント情報(ユーザID、パスワード、FTPサーバアドレス)が盗まれる可能性があります。また、盗まれたFTPアカウント情報を用いて、FTPサーバに不正にログインされ、Webサービスなどのコンテンツがある場合には Webページが改ざんされてしまう可能性があります。また、ネットワーク経由で他のホストへの感染活動は確認されておりません。

【Gumblarへの対策】

Gumblarへの対策としては、クライアント、ネットワーク、サーバの3点での対策が有効であり、それぞれ以下の内容を実施することをお勧めいたします。

クライアントでの対策

Gumblarおよびその亜種は、不正なJavaScriptやIFRAMEが埋め込まれたWebページを閲覧することで感染します。また、これらWebページは不審なサイトだけでなくブログなどの正規のサイトが改ざんされている場合があり、それらのサイトによる被害も報告されております。

そのため、このようなWebサイトの閲覧による感染を防ぐため、以下の対策を実施されることをお勧めします。

  • Windows OSやMicrosoft Officeのセキュリティパッチを適用する
  • サードパーティ製アプリケーション(Adobe Reader、Adobe Flash Playerなど)を利用している場合は、アップデートを確認し、常にその最新バージョンを利用する
  • アンチウイルスソフトの定義ファイルを、常に最新バージョンに更新する
  • パーソナルファイアウォールの導入

ネットワークでの対策

JSOCでは検知データを基に、PCがGumblarおよびその亜種に感染した際にアクセスするIPアドレスを集計しました。これらのIPアドレスは、今後変わる可能性が高いですが、過去2日間のインシデントが同じIPアドレスに集中しているため、被害を最小限に留めるためにも、以下のIPアドレスへの通信をファイアウォールなどで遮断することをお勧めします。

感染した際にアクセスする送信先のIPアドレス:
216.45.48.66/32
195.24.76.250/32
67.215.246.34/32
67.215.238.194/32

サーバでの対策

万一の感染においても、FTPサーバのアカウント情報を悪用したWebサイトの改ざんによる被害を食い止めるために以下の対策を行ってください。

  • FTPサーバにログインできるIPアドレスを必要なユーザのみにアクセス制限する

【Gumblarに感染したホストが発見された際の対処方法】

Gumblarへの対策としては、クライアント、サーバでの対応が必要であり、それぞれ以下の内容を実施することをお勧めします。

クライアントでの対処

まず、更なる被害の拡大を防ぐため、感染しているホストをネットワークから切り離した上で、最新のウイルス定義ファイルを適用したアンチウイルスソフトウェアなどでホストの調査を行ってください。

利用しているアンチウイルス製品以外でのウイルススキャンの手段として、オンラインでのウイルススキャンを実施する方法があります。下記の【参考(オンラインスキャン)】を参照し、確認することをお勧めします。また複数のアンチウイルスソフトウェアのスキャンでも発見できない事例を確認しております。そのため、確実にウイルスを駆除し、感染によるリスクを減らすためにもOSからの再インストールをお勧めします。

サーバでの対処

感染ホストが接続されているネットワークで管理するFTPアカウント情報が漏れてしまった場合、FTPサーバへの不正侵入の有無などを調査する必要があります。そのため、以下の内容を実施することをお勧めします。

  • FTPサーバに認知されていない送信元IPアドレスからのログイン履歴がないかを確認する
  • 該当FTPサーバ上のファイルが、不正に変更されていないかを確認する
  • 感染ホストの対処が完了した後、FTPサーバのアカウントとパスワードを変更する
  • FTPサーバにログインできるIPアドレスを必要なユーザのみにアクセス制限する

以上

【参考】

セキュリティ最前線(2009年6月18日掲載) | セキュリティ情報 : トレンドマイクロ
http://jp.trendmicro.com/jp/threat/securityheadlines/article/20090618073737.html

JPCERT/CC JavaScript が埋め込まれるWebサイトの改ざんに関する注意喚起
http://www.jpcert.or.jp/at/2009/at090010.txt

ウイルス感染を防ぐためのポイント(IPA情報処理推進機構)
http://www.ipa.go.jp/security/personal/know/virus.html

【参考(オンラインスキャン)】

トレンドマイクロ
http://www.trendflexsecurity.jp/housecall/

カスペルスキー
http://www.kaspersky.co.jp/virusscanner

※Niftyのサイトでもカスペルスキーのスキャンを実施可能
http://www.nifty.com/security/vcheck/kav/kavwebscan.html

マカフィー
http://www.nifty.com/security/vcheck/kav/kavwebscan.html

シマンテック
http://www.symantec.com/region/jp/securitycheck/

この記事は役に立ちましたか?

はい いいえ