Gumblarおよびその亜種に関する大量の感染事例について

ラックのセキュリティ監視センターJSOCでは、お客様の内部ネットワークからの「Critical」（お客様環境において重大なセキュリティ上の脅威が発生している状態）検知が急増しており、Gumblar（別名: JSRedir-R）およびその亜種に関する大量の感染事例が確認されたため、本日、注意喚起を公表します。

【Gumblarに感染した場合の脅威】

ホストがGumblarおよびその亜種に感染していた場合、該当ホストが接続されているネットワークで管理するFTPアカウント情報（ユーザID、パスワード、FTPサーバアドレス）が盗まれる可能性があります。また、盗まれたFTPアカウント情報を用いて、FTPサーバに不正にログインされ、Webサービスなどのコンテンツがある場合には Webページが改ざんされてしまう可能性があります。また、ネットワーク経由で他のホストへの感染活動は確認されておりません。

【Gumblarへの対策】

Gumblarへの対策としては、クライアント、ネットワーク、サーバの3点での対策が有効であり、それぞれ以下の内容を実施することをお勧めいたします。

クライアントでの対策

Gumblarおよびその亜種は、不正なJavaScriptやIFRAMEが埋め込まれたWebページを閲覧することで感染します。また、これらWebページは不審なサイトだけでなくブログなどの正規のサイトが改ざんされている場合があり、それらのサイトによる被害も報告されております。

そのため、このようなWebサイトの閲覧による感染を防ぐため、以下の対策を実施されることをお勧めします。

• Windows OSやMicrosoft Officeのセキュリティパッチを適用する
• サードパーティ製アプリケーション（Adobe Reader、Adobe Flash Playerなど）を利用している場合は、アップデートを確認し、常にその最新バージョンを利用する
• アンチウイルスソフトの定義ファイルを、常に最新バージョンに更新する
• パーソナルファイアウォールの導入

ネットワークでの対策

JSOCでは検知データを基に、PCがGumblarおよびその亜種に感染した際にアクセスするIPアドレスを集計しました。これらのIPアドレスは、今後変わる可能性が高いですが、過去2日間のインシデントが同じIPアドレスに集中しているため、被害を最小限に留めるためにも、以下のIPアドレスへの通信をファイアウォールなどで遮断することをお勧めします。

感染した際にアクセスする送信先のIPアドレス：
216.45.48.66/32
195.24.76.250/32
67.215.246.34/32
67.215.238.194/32

サーバでの対策

万一の感染においても、FTPサーバのアカウント情報を悪用したWebサイトの改ざんによる被害を食い止めるために以下の対策を行ってください。

• FTPサーバにログインできるIPアドレスを必要なユーザのみにアクセス制限する

【Gumblarに感染したホストが発見された際の対処方法】

Gumblarへの対策としては、クライアント、サーバでの対応が必要であり、それぞれ以下の内容を実施することをお勧めします。

クライアントでの対処

まず、更なる被害の拡大を防ぐため、感染しているホストをネットワークから切り離した上で、最新のウイルス定義ファイルを適用したアンチウイルスソフトウェアなどでホストの調査を行ってください。

サーバでの対処

感染ホストが接続されているネットワークで管理するFTPアカウント情報が漏れてしまった場合、FTPサーバへの不正侵入の有無などを調査する必要があります。そのため、以下の内容を実施することをお勧めします。

• FTPサーバに認知されていない送信元IPアドレスからのログイン履歴がないかを確認する
• 該当FTPサーバ上のファイルが、不正に変更されていないかを確認する
• 感染ホストの対処が完了した後、FTPサーバのアカウントとパスワードを変更する
• FTPサーバにログインできるIPアドレスを必要なユーザのみにアクセス制限する

以上