「Gumbler/GENO」に類似したあらたな攻撃が発生〜被害サイトの1/3以上が“再発病”

エンタープライズその他

注目記事

2009.10.23（金）17:42

　セキュアブレインは23日、独自調査を行った結果、2009年6月にWebサイトの改ざん被害が大量に発生した「Gumbler/JSRedir-Rウイルス（通称GENOウイルス）」と類似したあらたな攻撃手法を確認したことを発表した。

　セキュアブレインの先端技術研究所が、「Gumblerウイルス」により改ざん被害を受けたWebサイト299件について再度調査を行ったところ、124件（41.5％）のWebサイトで、あらたな手法により再度Webサイトが改ざんされていることが確認されたという。改ざん被害を受けたWebサイトのうち、23件（18.5％）が「co.jp」ドメインを持つ、日本の企業と思われるWebサイトだった。また、「ne.jp」ドメインを持つWebサイトは18件（14.5％）、「or.jp」を持つWebサイトは9件（7.3％）、「jp」ドメインを持つWebサイトは29件（23.4％）だった。

　以前「Gumblerウイルス」による改ざん被害を受けたWebサイトが、FTPサーバのID・パスワードを変更していないなど、適切な対処を行わなかった場合、再び悪意のスクリプトを埋め込まれる可能性があり、あらたな攻撃手法は、その不備をついた攻撃と見られている。しかも、さらに大量にウイルス感染をさせるために、感染用の悪意のある難読化されたスクリプトファイルをアップロードしているとのこと。元は一般のWebサイトなので、ブラックリスト方式による検知は難しくなる。

　以前「Gumblerウイルス」により改ざん被害を受けたWebサイトの1/3以上が再度改ざんされていることとなり、「Gumblerウイルス」感染後もFTPサーバのID・パスワードを変更していないなど、適切な処理がなされていないことが今回の調査では判明したこととなる。セキュアブレインでは、同社の企業向けSaaS型セキュリティサービス「gredセキュリティサービス」によるサイト改ざんチェックなどを推奨している。「gredセキュリティサービス」は無償トライアル版が利用可能。

《冨岡晶》