Gumblar

Gumblar（ガンブラー）とは、コンピュータウイルスにコンピュータを感染させようとする攻撃手法の一つ^[1][2]。

ウェブサイトの改竄と、ウェブサイトを閲覧するだけで感染するウイルスを組み合わせ、多数のパソコンをウイルスに感染させようとする手口である。同攻撃に関連するマルウェアを指す意味でも多用されるが、どの範囲のマルウェアを指すのかはメディアによって様々である。Gumblarによって、国内外でWebサイトの改竄被害が相次いでいる^[3][4]。

日本国内においては、別名でGENOウイルス（ジェノウイルス）と呼ばれている^[5][6]。

Gumblarではドライブバイダウンロードによってマルウェアをコンピュータに感染させ、FTPアカウントを攻撃者に送信させることによって当該Webサイトの改竄が行われる。特に同種のマルウェアをダウンロードさせるようなコードが埋め込まれるような改竄によって、感染被害が広がることになる^[7]。

この攻撃は2009年（平成21年）3月ごろから発見され始めた^[8]。国内では2009年（平成21年）5月ごろから同人サイトや企業サイトなどに改竄被害が広がり、さらに攻撃経路やマルウェアの種類の変化に伴い2009年（平成21年）12月頃から日本の大手企業のウェブサイト（JR東日本・ホンダ・ローソン・京王グループ・ハウス食品など多数）における改竄被害が拡大している。

国内の報道では一般に「Gumblar」が用いられ、特に2009年（平成21年）12月頃から再び猛威を振るった際には「Gumblar亜種」の名称も用いられてきた。日本国内においては、早期に同ウイルスにウェブサイトの感染を確認しウェブサイトを切り替えたがそれでもウイルスの拡散が止まらず感染者を増やしたウェブサイト^[9][10][11]の名前を取り、「GENOウイルス」と呼ばれている。

一般に「Gumblar」には2通りの意味があり、「攻撃手法」のことを「Gumblar」と呼んでいる場合と「攻撃で使われるマルウェア」をガンブラーと呼んでいる場合の両方がある。セキュリティ関連企業がそれぞれ独自の考え方で「Gumblar」という言葉を使っているため説明する人によって、また読む資料によって「Gumblar」の意味するところが違うことがある。マスコミによる報道では、「Gumblar」という言葉が「攻撃で使われるマルウェア」の意味で使われることが多い^[8]。

Gumblarはその脅威としてWebサイトに埋め込まれる攻撃コード、および攻撃コードによってコンピュータに感染するマルウェアに大別される。

まず何らかの不正アクセスによって、Webページに攻撃コードを埋め込んで改竄する。この攻撃コードは、アンチウイルスベンダーによって「Troj/JSRedir-R」^[12]「JS_GUMBLAR」^[13]などと呼ばれるJavaScriptプログラムである。この攻撃コードが読み込まれるとAdobe Reader・AcrobatやFlash Player、Java、Windows、Microsoft Officeなどの脆弱性を利用してクライアント側のコンピュータにマルウェアを感染させる^[14][15]。

このときに感染するマルウェアはアンチウイルスベンダーによって「Troj/Daonol-Fam」^[16]「TSPY_KATES」^[13]などと呼ばれるトロイの木馬であり、感染コンピュータのFTP通信を監視しFTPアカウントを攻撃者のサーバに送信する活動を行う。これによって攻撃者が当該Webサイトの管理権限を取得し、サイトの改竄が行われる。このとき、JSRedir-R型のコードの埋め込まれることによってさらなる同様の攻撃が広がっていくのである。

元々マルウェアのダウンロード元のURLが「gumblar.cn」であったことから「Gumblar」の名称が広がったが再び攻撃が広まった際にパターンが変更され、シンプルに攻撃パターンを分類すると「Gumblar系攻撃」、「Gumblar.x系攻撃」、「ru.8080系攻撃」、「cn.8080系攻撃」、「改変型8080系攻撃」の5タイプが存在する^[8]。

以上の説明は、Webページの改竄につながる攻撃に関する場合に限る。FTPアカウントの盗難によって、秘密情報が漏洩したりするおそれがある。またダウンロードされるマルウェアはWebサイトを管理しているコンピュータをターゲットにしているが、他の活動を行ったりそもそも種類が異なるマルウェアが感染する可能性もあることに注意されたい。

OS、ウェブブラウザ、ウイルス対策ソフトのアップデートを有効にすること。およびユーザーアカウント制御における高権限で怪しいプロセスを実行しないこと。

2009年当時はブラウザやAdobe提供ツールにおいてJavaScriptを無効化するべきとするアドバイスも多くあったが、その後にブラウザやAdobe提供ツールでの対策が逐次行われている。

JPCERT/CCや情報処理推進機構等では二次被害を防止するため、以下の対策を推奨している。

• 定期的なFTPアクセスログの確認
  • FTPのアクセス制限
    • GumblarはFTPアカウントを乗っ取りウェブサイトを改竄する事もあるため、ウェブサイトの更新できる場所やIPアドレスを限定する事も対策の1つとして挙げられる。
• 改竄検知システム等の導入
  • 連絡先の公開
    • ウェブサイト運営者がGumblarに感染した事に気付かず利用者からの連絡を受け、改竄が発覚するケースもあるため連絡先を掲載しておくと良い。
  • FTPクライアント対策
    • FFFTPではGumblar感染後にレジストリに保存されているFTP接続情報を窃取されてウェブサイトが改竄される被害が相次いでいる^[17]ため、早急な対策が必要である。対策としてはレジストリの接続情報を消去した後にFTPのパスワードをパソコン上で暗号化した最新版のFFFTPを導入するか、もしくはよりセキュアなSFTPなどのSSL接続に対応しておりマスターパスワードの設定と接続情報のAES暗号化が実施できるWinSCPなどへの乗り換えが推奨されているがFTP接続の場合はパスワードなどの設定を暗号化していてもパケットキャプチャでの盗聴による危険性がGumblar流行以前から問題視されている^[18]。なおソフトウェアの脆弱性やセキュリティホールが修正されないままだとSFTP対応クライアントソフト（抽象的には「攻撃対象となりうるOSやソフトウェア」）に関しても危険性があるとJPCERT/CCが警告しており^[19][20][21]、根本的な対策としてAdobe Reader/Adobe Acrobat、Flash Player、Java、Windowsなどのソフトウェアを最新版にすべきと推奨している^[21]。
    • またFTPアカウント情報の窃取の対象となるソフトウェアはFFFTPだけではなく、複数の製品にのぼる^[20]。これに加えて、「Microsoft社 Internet Explorer 6」および「Opera社 Opera 10.10」のアカウント管理機能を用いて保存されている情報も窃取の対象となっている。また今後マルウェアが変化し、アカウント窃取の対象となるソフトウェアが変化する可能性があるので上記で述べられているような根本的な対策を行うことが望ましい^[20]。

• 感染の恐れがある場合、早期に公開を停止する
• 公開されていたコンテンツのソース確認
  • ウイルスの排除や感染したパソコンの初期化
    • 二次被害を防ぐため、改竄の事実の公開、ウイルス感染の危険性を説明した上でオンラインスキャンを薦めるなど適切な情報提供と注意喚起をする事が望ましいとされている。
  • ウイルス排除後のパスワード変更
    • ウイルスを排除せずにパスワードを変更した場合に再度改竄されるというケースもあるため、原因を排除したあとパスワードを変更すると良い。
• 改竄されたページを正規のページに置き換える
• 利用者への注意喚起
• IPA等への届出

一部のWebサイト上では誤った対策方法が掲載されている。これらの情報は処置方法として適切でないためしっかりと把握し、他の手段を用いてウイルスを除去する必要がある。

• プログラムを除去するため、ブラウザのキャッシュを消す
  • ブラウザのキャッシュを消しても全く関係がない。サーバー運営元がこのような誤まった情報を流した場合、更なる被害拡大に繋がるおそれがあるため注意が必要である。

• ドライブバイダウンロード

• 情報処理推進機構：情報セキュリティ：ウェブサイト管理者へ：ウェブサイト改ざんに関する注意喚起 一般利用者へ：改ざんされたウェブサイトからのウイルス感染に関する注意喚起
• 新ウイルス ガンブラーにご注意を | カスペルスキー 情報サイト | JUST Kasperskyポータル
• セキュリティ情報(トレンドマイクロ):iFrameを利用した攻撃の概要動画
• GATEWAY ACCESS PERMISSION SYSTEMS (GAPS)