最近,見たもの-臨時版
 なんか,騒がしいなぁ。
 テレビニュースや一般紙のニュースサイトにも載ったりして。
 Gumblarですよ。

 2010.1.8,1.11,1.12追記あり



 昨日ぐらいに新聞社のWebサイトに載ったの↓
・京王電鉄・ローソンHPも被害 新型ウイルスガンブラー
http://www.asahi.com/national/update/0106/TKY201001060419.html
・ガンブラー:被害急増 有害サイトに誘導の新種ウイルス
http://mainichi.jp/select/today/news/20100107k0000m040109000c.html
・洋菓子「モロゾフ」のサイト、改ざん被害
http://www.yomiuri.co.jp/national/news/20100106-OYT1T00032.htm
・ウイルス「ガンブラー」が“猛威” 企業HPの改ざん相次ぐ
http://sankei.jp.msn.com/affairs/crime/100106/crm1001060035000-n1.htm
 新聞社の記事なので,早々に流れちゃうと思いますけどね。
 たださー,「新型」というのは,苦しいのでは?
 だって,おおもとは,昨年(2009年)の5月ぐらいに出てきたのだから。
 もっとも,今はやっているのはGumblarの亜種と言うより,新種に近いものらしい。新種のGumblarは誤りだけど,Gumblarの新種なら正しいのか?

 IPAがこんなの↓を公表したのも,一般紙やテレビで取り上げられるきっかけだったのか?
・「ユーザーに気付かれないように感染」、巧妙なウイルスが猛威
http://itpro.nikkeibp.co.jp/article/NEWS/20100107/342933/
> 2009年のウイルス感染事例を総括
 と,ある通りで,去年のハナシなんですけどね。

 とは言え,Gumblarの亜種の活動が年末から活発化しているのは事実のよう。
 Internet Watchの記事↓
・JR東日本のサイトが2週間改ざん、ページ内検索でウイルス感染も
http://internet.watch.impress.co.jp/docs/news/20091224_339343.html
> いずれも「Gumblar」ウイルスの亜種に感染する不正なページへリダイレクトする
> スクリプトが埋め込まれていた

 公共性のある会社のWebサイトでも,アブナイということか。

・「Gumblar」の攻撃が増加・長期化、サイト管理者は細心の注意を
http://internet.watch.impress.co.jp/docs/news/20091225_339670.html
 亜種らしいが,基本的な流れは最初の頃と同じなの?
 どーも,その辺りが,こういう記事では,イマイチわからず。
 当方が知りたいのは,(感染する場合の)最初のキッカケ。
 ロジックがわかれば,ある程度,対処策の見当も付くのですが,悪用を恐れているのか?詳しく記しているところが少ないのです。

 先に紹介したSo-netのガイド記事↓
・JR東日本も改ざん~「アニたまどっとコム」に続き新手の正規サイト改ざん
http://www.so-net.ne.jp/security/news/view.cgi?type=2&no=2104
・新手の正規サイト改ざん(1):国内で急速拡大~ホンダ、信越放送も被害に
http://www.so-net.ne.jp/security/news/view.cgi?type=2&no=2107
・新手の正規サイト改ざん(2):一般ユーザーの方、サイト管理者の方へ
http://www.so-net.ne.jp/security/news/view.cgi?type=2&no=2108
 サイト管理ちゅーても,会社などは,システム担当者のハナシなので,ここでは触れません。

 主に東京でモデル撮影会を運営している方々へ。
 みなさんも,サイト管理者の一員ですから,ウイルス対策は,必ずやってくださいね。
 例えば,Firefoxの場合,感染サイトになってしまうと,仮に対処をして解決を図っても当座の間は,感染サイトとして表示され放っしになります。「感染サイト」と表示されたら,そのHPには寄り付かなくなりまする(笑
 実際,Firefoxで感染サイトとなった撮影会さんを何件か,見ております。

・検証ラボ:ウイルスを観察してみる-Webからの脅威「Gumblar」(ガンブラー)
http://itpro.nikkeibp.co.jp/article/COLUMN/20090727/334548/
 この記事は,2009年7月のものなので,今の亜種とは違っているのか?

・新ウイルスGumblar(ガンブラー)について
http://www.mcafee.com/japan/security/gumblar.asp
> 2009年4月に出現したウイルス「Gumblar(ガンブラー)」は今年に入っても感染は拡大し続け
 「今年」とは2010年のことですから,この記事は比較的新しいものです。
> Gumblar(ガンブラー)の感染は、ユーザが不正にiframeを埋め込まれたWebサイトを
> 閲覧することから始まります

 ということで,キッカケは,最初の頃と同じなわけ。
 だとすれば,極端なハナシ,AcrobatやFlashをアップデートして最新版に保つだけでも,リスクはかなり低減出来ることになります。またIEを使わないでFirefoxやSafariを使う。(但し,これだけで済ませるのは勧められる考え方ではない)

・企業で使える無償「ソフトウエア最新化状況検査ツール」を評価する
http://itpro.nikkeibp.co.jp/article/COLUMN/20091228/342735/
 少し前に,このblogでも紹介したIPAのツール。IT proという専門家向けサイトにして珍しく(?)それも山下さんの記事なのに「出来るシリーズ」のように画面を紹介しておりますわ(笑
 内容が内容だけに,これも仕方ないと判断したのでしょうかね。

・「PDFファイルに要注意」、ADOBE READERの脆弱性を突くウイルス出回る
http://itpro.nikkeibp.co.jp/article/NEWS/20100105/342867/
> 設定変更による回避策の実施を強く推奨している。具体的には、JavaScriptの設定を無効にする
 この記事は,Gumblarとは直接関係ないのですが,AcrobatのJavaScriptを無効化するのが有用なのはGumblarでも同じこと。
 会社などは別として,昨今の事情を考えると家庭ユーザーの場合は,無効化しておくのが吉なのでしょう。

・アドビ、ユーザーの関与なしに自動アップデートする仕組みを検討
http://japan.zdnet.com/sp/feature/07zeroday/story/0,3800083088,20406178,00.htm
 一次的にはウイルス作者が悪いわけですが,AcrobatとFlashが狙い撃ちにされている実情もあるわけで,自動アップデートを提供すべきだと思いますよ。アタシは。
 なお,この記事のリンク先にもありますが,AcrobatのJavaScript自体を取り外す(機能として削除する)必要はないと考えます。

・「すべてのファイルが『イカ』に!」、破壊型ウイルスの相談相次ぐ
http://itpro.nikkeibp.co.jp/article/NEWS/20100107/342939/
 Gumblarとは関係ありませんけど。
 ついでに載せておきます。
 このご時勢,ファイル共有を使うなら,覚悟が必要でしょう。

・ウィルコムユーザー襲う迷惑メールの嵐、モバゲー/GREE/mixiかたるスパムも
http://www.so-net.ne.jp/security/news/view.cgi?type=2&no=2109
 ついでに,もう一丁。
> 【重要】未交換ポイントが残っております」などの件名で届き
 とか
> ポイントが3倍になる権利が当選したなどといって「換金ポイント3倍キャンペーン」
> のサイトへと誘導する

 実在する名前で,こんなこと言われたら,その気になっちゃうよね(笑
 毎度のことながら,コイツら,アタマがいい。

---
2010.1.8 追記
・急増するサイト改ざんとGumblar感染、対策の速やかな実施を
http://www.itmedia.co.jp/enterprise/articles/1001/07/news095.html
> Webサイトの改ざんはSQLインジェクション攻撃をはじめとするさまざまな方法で
> 攻撃者がWebサーバやデータベースに不正侵入し、攻撃者が別に用意している悪質な
> サーバへのリンクを埋め込む

 あ~ん,(サーバ側の)最初の一滴は,ここから始まるのね。
 このサーバに接続したクライアントが,これに触って,弱点があると感染するわけだ。
 ある意味,スッキリした(苦笑

・Web サイト改ざんに関する情報提供のお願い
http://www.jpcert.or.jp/pr/2010/pr100001.txt
 JPCERTの活発に動き始めた。
 ここにある通りで,事象が起きたところだけの対処で済まないのが,コイツのやっかいなところ

・企業HP改ざんで警視庁捜査 不正アクセスの疑い
http://www.excite.co.jp/News/society/20100108/Kyodo_OT_CO2010010801000643.html
 共同のは直接リンク出来ないので,エキサイトの配信記事。
 たぶん,最初の一滴となる不正書き換えを問題視しているのだと思います。
 それとコイツの場合,プログラムによる自動実行だけでなく,手作業によるリモート操作が行われている可能性も指摘されています。それもあるのか?

 Gumblarを含む,この手合いのウイルスなら,今となれば岬ちゃんが役に立つ。もし,まだの方がいるようでしたら,岬ちゃんを使ってね↓
・MS、ウイルス対策ソフト「Microsoft Security Essentials」を無償公開
http://www.forest.impress.co.jp/docs/news/20090930_318336.html

2010.1.11追記
・「Gumblar」はAdobeのゼロデイ脆弱性も使用、ユーザーは対策を
http://internet.watch.impress.co.jp/docs/news/20100108_341331.html
> 「Gumblar」(ガンブラー)ウイルスへの注意喚起について、ウイルスが
> Adobe Reader/Acrobatの未修正の脆弱性も使用していることが確認されている
> ことを追記し、JavaScript機能をオフにするなどの対策を呼びかけた

 ゼロディ攻撃までするようになったそうです。

2010.1.12追記
・シマンテック、「Gumblar」攻撃の新しいスクリプトを注意喚起
http://internet.watch.impress.co.jp/docs/news/20100112_341886.html
> 攻撃の仕組みは2009年からそれほど変化は無く
 そうなんですか。う~む。
> すべての攻撃が同じURLへのアクセスや同じマルウェアをダウンロード
> しているわけではないことに難しさがある

 当方が推測しても仕方ないことですが,思うに,全然無関係の複数のアタッカーがいるのだと思っています。

・相次ぐサイト改ざん(1) 注意が必要なのは「ガンブラー」ではなく「8080」
http://www.so-net.ne.jp/security/news/view.cgi?type=2&no=2115
> これらのことが困った事態を引き起こしている。GumblarやGumblar.xの情報をネットで
> 見つけ、その情報が現在の8080にもそのまま当てはまると思ってしまう人がいるのだ

 純粋,技術的見地から見た場合は,この説は,正しい。
 同じものなら,以前の情報は役に立つが,違うものは違うのだから,新しい対処が必要になる。
 とは言っても(結果的に)一般のエンドユーザーに出来る対処は,ほぼ同じだから,プロセスは少しぐらいの違いがあっても関係ないとも言えるわけで,報道の難しさですかね。

・相次ぐサイト改ざん(2) 新たな改ざん告知サイト12~ヤフー、ブックオフ子会社等
http://www.so-net.ne.jp/security/news/view.cgi?type=2&no=2116
> 実際はGumblar.xでも8080でもない、まったく別の種類の改ざんが行われていたことが
> 判明した

 一人じゃ,(短期間のうちに)ここまでは出来ないと思うのですよ。
 なので,別々のところで,同時進行で起きているように思ったりするのですが。

 それと,前から申し上げていますが,So-net優秀。
 そこらのセキュリティ サイトは,泣いて逃げ出すようか(笑

・間違いだらけのGumblar対策
http://blog.f-secure.jp/archives/50334036.html
> Q. 結局どうすればいいんですか?
 ワロタ。
[PR]
by rainbow-5 | 2010-01-07 21:57 | 日記 | Comments(0)


<< ディスクエラー 最近,見たもの(写真関連) >>