Web制作野郎にとってのGumblar(ガンブラー)対策

  • 投稿日:
  • by
  • カテゴリ:

 年末くらいからTVなどのメディアでも取り上げられ始めた、コンピュータウィルス(トロイの木馬)のGumblar(ガンブラー)。感染経路はWebサイトに掲載されたPDFやらFlashやらJAVA、M$社のなにかから感染する事は分かったんだけど、その広まり方ってのが「FTP経由で不正に侵入して、うんたらかんたら、、、」とかで一般の人はともかく、FTPでWebの更新とかしてるWeb制作な人たちにとっては極めて恐ろしいモノが現れたなぁとか思っておりました。

 ちなみに、Gumblar(ガンブラー)がどんな感じなのかは、下記の記事がいい感じ。

被害が多発する「Gumblarウイルス」への対策を実施しよう

 で、メディアとかではWeb制作な人たち向けの対策とか、その仕組みみたいなモノがちゃんと書かれていなかったりするので、ちょっと調べてみました。まずは、JPCERTの注意喚起から。

Web サイト改ざん及びいわゆる Gumblar ウイルス感染拡大に関する注意喚起
【Web サイト管理者向け】
Web サイト管理者は、自社の Web サイトが改ざんされ、ユーザに不正なプ
ログラムをダウンロードさせてしまうような事態を招かないため、以下の確認
事項、対策を改めてご検討ください。

- Web サイトの更新ができるコンピュータを制限する。(IP アドレスなど)
- Web サイトで公開しているコンテンツに不正なプログラムが含まれてい
ないこと、コンテンツが改ざんされていないことを確認する。
- 多くの改ざんされたサイトでは不正な script タグが挿入されています。
HTML ファイルや外部 .js (Javascript) ファイルに「/*GNU GPL*/ try」
や 「<script>/*CODE1*/ try」と言った文字列 が追記されています。

*** 更新: 2010年01月08日追記 *************************************
挿入される不正な script タグとして以下の文字列を確認しました。

「/*LGPL*/ try」

*************************

- FTP サーバのログを確認し、アクセス元IPアドレス、アクセス日時などに
不審な点がないか確認する。
- Web サイトの更新ができるコンピュータがマルウエアに感染していないか
確認する。Web サイトの管理を外部に委託している場合は、委託先のコン
ピュータがマルウエアに感染していないかなど、委託先に確認の依頼を行
う。

ってことで、対策というか確認的な部分が多いよなぁ。IPアドレス制限とか、ある程度以上の規模の会社のWebサイトだったら当然やってるんだろうけど、結局Web制作会社からアクセス出来なきゃ意味ないから、そこは開いちゃってるしね、、、。

 ココまできて疑問だったのが、どうやってFTPアカウントとか奪取するんだろう、ということ。PCの中をひたすらサーチでもするのかと思いきや、真相はこんな感じ。

最新ウイルス情報 : JS/TrojanDownloader.Agent.NRL
これは、感染したコンピュータからトラフィックを監視して、FTPのアカウントを抜き取ろうとするトロイの木馬です。他のマルウェアから呼び出されるか、脅威を含んだJava Scriptを実行させる危険なサイトにアクセスすることによって、このトロイの木馬をダウンロードして実行されます。

トラフィック、っていうかパケットを覗くのね、そういうことね、、、素のFTPは全滅だよなぁ、、、。なんだろ、うちが管理してるサーバはほぼSCPなので、その流れならトラップされることはないと思うんだけど、外部のレンタルサーバとかだとSCP使えない場合も多いしなぁ、、、というか、メディアに出てる大企業がFTP使ってるってのがすごい驚きなんだけど。ホントにFTPのパケットを覗いてるだけなのかな? FTPとかSCPの設定ファイルをサーチして、抜き出されたら超恐怖だな。

 というわけで、とりあえずFTPを使わなきゃいいんじゃねーの? とか、適当なこと書いてみたり。FTPしか無いところは、、、ちゃんとPCの対策をとってくださいな。ソフトのバージョンアップと、アンチヴィールスソフトのアップデートね。
 やられてたら、、、もう、総ざらいチェックするしかないね、Webサイトを、、、怖い怖いー。

 そうそう、AdobeのAdobe Reader/ Acrobatの対応プラグラムが1/13にならないと出ないらしいので、ちゃーんとアンチヴィールスソフトをアップデートしてスキャンをかけた方がいいぜー。