JPCERT/CCや米US-CERT、各セキュリティソフトベンダーなどが、「Webサイトに悪意のJavaScriptが埋め込まれる攻撃が4月半ばから多発している」と警告している。
この攻撃は、活動の拠点となっているサイトのURLから「Gumblar」と名付けられている。日本のユーザーの間では、被害に遭った通販サイトの名称から「GENOウイルス」といった名称でも呼ばれている。特徴としては、感染サイトの広がりが非常に速く、英Sophosでは「これまでに最も流行した攻撃の6倍ものペースで感染サイトを増やす猛威を振るっている」と報告している。
「Gumblarウイルス」(通称:GENOウイルス)が急激なスピードで広がっているようです。
ざっと調べた感じ、以下のような流れで感染するらしい。
- 感染したWebサイト(これが、SPAMサイトとかではなくごく一般のサイト。一部は企業サイトだったり)
- これをみたPCが感染する
- 感染したPCから、自分のサイト更新などでFTP接続すると、ウイルスが盗み取る
- ウイルスが勝手にFTP接続し、自分が管理しているWebサイトが感染したサイトになってしまう
- それを見た利用者が(以下繰り返し)
4月頃より通販サイトの「GENO」というサイトがこのウイルスに感染してしまい、それを見た人が次々に感染し、というのが大流行の大元らしい。
対策も一応ある。感染しているかの確認方法も含め、以下サイト参照。
- GENOウイルスまとめ - トップページ
- http://www29.atwiki.jp/geno/
まだ感染していなければ、上記ページの対策(主に、Adobeリーダの最新セキュリティパッチ適用とFlash Playerの最新版を適用)すれば、とりあえずは問題ないようだ。
ただ、すでに感染している場合の対応が厳しい。
- アンチウイルスメーカーの対応が遅れたため、定義リリース時にはすでに感染済みの場合が
- 感染すると定義更新がブロックされたりするため、最新版の定義が当てれず、結局検出・駆除できない事態に
- ウイルスのコード自体は難読化されたJavaScriptのため、アンチウイルスメーカーも検出に手こずってる様子
- 上記のため、今流行ってるコードに対応できても、亜種が出て別の難読化されたJavaScriptで書かれたら対応できない可能性が→いたちごっこ
などなど。アンチウイルスメーカーが後手後手になってしまっているため、発生から1ヶ月半経った今も、これといった解決策は「OS再インストール(またはリカバリー)しかない」状態である。
ネットワークの負荷をあげたり、同じイントラ内のPCを攻撃する「企業内LANを困らせる系のウイルス」でないのが救いだが、「Webサイトを見るだけで感染」というのは怖すぎる。しかも、企業サイトが感染する可能性も十分にあり、いつも見ているサイトを巡回したら、ある日突然サイトが感染しており自分も感染してしまう危険性があるのは、どうしても油断しがち。
前述の対策とウイルス定義の更新は頻度に確認し、気をつけるしかないのは切ないなぁ。メーカーの対策に期待。
自社のWebサイトも感染してしまえば信用問題に関わるんで、自社サイトにFTPにつなぐことがある僕の業務PCもしっかり対策しておかなければ。