平素お世話になっております。
最近、Gamblarウイルスが流行しております。サイト管理者様は対策をお願いいたします。
【Gamblarとは】
Gamblarに感染すると通信内容を監視され、FTPサーバへのアクセスを検知するとそのIDとパスワードを盗んで攻撃者のWebサイトに送信します。攻撃者はIDとパスワードを使ってWebサイトを改ざんし、悪意あるスクリプトを埋め込みます。見た目は全く変化が無いので、普通に見ただけでは気づきません。
改ざんされたWebサイトへアクセスすると、閲覧したユーザーはGamblarに感染します。現在はFTPパスワードが盗まれるだけのようですが、今後様々な個人情報が盗まれる亜種の発生も考えられます。
Webからの攻撃に対応していないフリーのウィルス対策ソフトや、有料であってもパターンの供給が遅れたり未知の脅威に対する検知が甘かったりなど、対策ソフトをインストールしていても安心とは言えない状況です。
【現在有効とされる対策】
1.Windows Update (Microsoft Update)を行い、OSの状態を最新に保って下さい。
XPの場合:[スタート] → [すべてのプログラム] → [Windows Update]
Vista, 7の場合: [Windowsマーク] → [すべてのプログラム] → [Windows Update]
3.ウイルス対策ソフトのパターンファイルを最新にする
また、Gamblarは感染したwebサイトを閲覧しただけで感染しますので、Webからの攻撃に対応しているタイプのウイルス対策ソフトのご利用をおすすめします。
2.Adobeのバージョンを更新
Adobe Reader, Adobe Flash Player をアップデートしましょう。
以下のツールで、バージョンチェックを行う事が出来ます。
MyJVN バージョンチェッカ
http://jvndb.jvn.jp/apis/myjvn/(終了)
Adobe Readerは、
[スタート]→[すべてのプログラム]→[Adobe Reader*]を起動、
[ヘルプ]→[アップデートの有無を確認]。
さらに、参考URLでは
[メニュー]→[編集]→[環境設定]→[javascript]→[Acrobat Javascript使用]のチェックを外す 等
4.FTPでアクセスしない
Gumblar は FTP の通信を盗聴してパスワードを盗み出します。FTPS、もしくは SFTPを利用する事で、万が一 Gumblar に感染していた場合にも盗聴を防ぐ事ができます。セキュリティ向上のために FTPS もしくは SFTPでの接続を行うことをお奨めいたします。
利用者の多いFFFTP以外にも、Dreamweaver,WinSCP など、
レジストリなどにパスワードを保存しているFTPツールであれば
感染すれば、webサイト改ざんの可能性があります。
また、利用者の多いFFFTPもGumblar対策がされた最新版が公開されて
おりますのでアップデートして下さい。
http://www2.biglobe.ne.jp/~sota/(外部サイト)
5.特定の接続元からのみFTP接続を許可する
設定により、FTPアクセスを制限する事も
可能でございますので下記を御参考下さい。
制限したいディレクトリに「.ftpaccess」
という名前のファイルを作成し下記の様に
記述する。
<Limit All>
Order Allow,Deny
Allow from ***.***.***.***
Deny from all
</Limit>
※ ***.***.***.***は許可するIPアドレス
【感染が確認された場合】
Gamblarの感染が確認された場合は、ご利用のwebサイトの全てのwebファイルが感染している可能性がございます。
多くの改ざんされたサイトでは以下のような不正な script タグが挿入されています。
HTML php ファイル
外部 .js (Javascript) ファイル
「/*GNU GPL*/ try」
「<script>/*CODE1*/ try」
「/*LGPL*/ try」
一度全てのファイルをダウンロードし、サクラエディタのGrep等で検索・削除される事をおすすめします。
※不正なscriptタグは今後増える可能性も十分考えられますので、最新の情報をチェックして下さい。
■ご参考
・一般社団法人 JPCERT コーディネーションセンター
下記URL記載の方法に従っていただくことで、ウイルス対策ソフトの定義ファイル、Adobe Flash Player、Adobe Acrobat、Adobe Reader、Java(JRE)、Microsoft社製品を最新の状態に更新していただけます。
『Web サイト改ざん及びいわゆる Gumblar ウイルス感染拡大に関する注意喚起』
http://www.jpcert.or.jp/at/2010/at100001.txt(外部サイト)
・トレンドマイクロ株式会社
『GUMBLAR(ガンブラー)の対策』
http://jp.trendmicro.com/jp/threat/solutions/gumblar/(外部サイト)
・よくあるご質問
http://jp.trendmicro.com/jp/threat/solutions/gumblar/faq/index.html(外部サイト)
上記の対策後、前述のウイルス感染の確認ならびに削除を行っていただくことを、お勧めいたします。