情報処理推進機構(IPA)は2010年3月3日、「ガンブラー」攻撃の被害から復旧したものの、再度被害に遭ったという相談が寄せられているとして注意を呼びかけた。Webサイトの管理用パソコンにウイルスが感染したままだと、FTPカウントのパスワードを変更するなどしても無意味だという。
ガンブラーとは、正規のWebサイトにスクリプトを埋め込むことで、そのサイトにアクセスしたユーザーを悪質サイトに誘導し、ウイルスを感染させようとする攻撃(図)。特に、Webサイトの管理用パスワード(FTPアカウントのパスワード)を盗むウイルスを感染させる攻撃を指すことが多い。
IPAには、ガンブラーの被害に遭った企業から相談が寄せられているという。ある企業では、ユーザーからの指摘で、Webページに悪質なスクリプトが埋め込まれていることが判明。そこでその企業では、FTPアカウントのパスワードを変更するとともに、Webサイトのデータをすべて削除。クリーンなバックアップデータをアップロードして、Webサイトを再開した。
ところが再開から数日後、再び「Webサイトを閲覧するとウイルスが検知された」との報告が別のユーザーから寄せられた。その企業では原因を特定できず、Webサイトを再開できない状況が続いているという。
これについてIPAでは、同サイトの管理用パソコンにウイルスが感染しているためと推測。FTPのパスワードを盗むウイルスが感染しているため、パスワードを変更しても、新しいパスワードが攻撃者に送信されている可能性が高いとしている。
改ざんされた原因を特定できないような場合には、管理用パソコンを初期化することをIPAでは勧めている。加えて、ウイルス感染のリスクを減らすために、管理用パソコンではWeb閲覧やメールチェックをしないといったルールを定めることも推奨している。
