PR

 セキュリティ企業のシマンテックは2010年1月12日、国内で猛威を振るっている「ガンブラー(Gumblar)」について解説した。ガンブラーは一般的なウイルス(マルウエア)の名称ではなく、ウイルスをダウンロードさせる「攻撃」のこと。パソコンに感染するウイルスは、攻撃によって異なるという。

 2009年末から2010年の初めにかけて、Webサイトが改ざんされて「ウイルスのわな」を仕込まれる事件が相次いでいる。攻撃者は、企業や組織が運営する正規のWebサイトに不正侵入し、攻撃者が管理している悪質サイトにリダイレクト(誘導)するコード(プログラム)を仕込む。

 ユーザーが改ざんされたサイトにアクセスすると、悪質サイトに誘導されてウイルスがダウンロードされる。ウイルスをダウンロードさせるWebページには、Windowsや「FLASH PLAYER」「ADOBE READER」「Java Runtime Environment(JRE)」などの脆弱(ぜいじゃく)性を悪用する仕掛けが施されている。このため、これらのソフトの古いバージョンをインストールしているパソコンでは、改ざんサイトにアクセスするだけでウイルスに感染する恐れがある。

 シマンテックによれば、一般的にガンブラーと呼ばれているのは、別サイトに誘導してウイルスに感染させる攻撃手法のこと。同社では「ドライブバイダウンロード」と呼んでいて(図)、感染させられるウイルスの名称ではないという。同社では、最近の報道では「ガンブラー」を、ウイルスやマルウエアの一種と混同しているケースが見られるとして、誤解しないよう呼びかけている。

 そもそもガンブラーとは、2009年5月に話題になった攻撃手法。誘導先のサイトのドメイン名が「gumblar.cn」だったために、この名前が付けられた。しかしながら、今回の攻撃では誘導先は異なる。同社では、今回話題になっているガンブラーと、2009年5月のオリジナルのガンブラーとは関連性が低いと見ている。

 今回のガンブラーでは、誘導先のサイトが毎回同じとは限らない。ダウンロードされるウイルスも多種に及ぶ。このことが、2009年5月のガンブラーと比べて対策を難しくしているという。例えば、「Trojan.Bredolab」や「Trojan.Zbot」といったウイルス、「PrivacyCenter」や「Trojan.FakeAV」といった偽ソフト(詐欺的なソフトウエア)がダウンロードされるとしている。