Kaspersky Labs Japan は、猛威を振るった Gumblar亜種 (Gumblar-x) に酷似した Pegel への対策についてお知らせいたします。
Gumblar 亜種は 2009年10月14日に検知され、以降日本の大手企業サイトにも数多く感染したことから注目を集めました。その後は、Gumblar 亜種に代わり Pegel(ピーゲル)の国内大手企業サイトへの感染が確認されています。いまだ感染後の対策が十分にとられていないケースも見られるため、あらためて対策についてお知らせいたします。
Pegel は、Gumblar 亜種と同様に Web 誘導型のマルウェアです。改ざんされた正規サイトを閲覧した訪問者は、不正サイト(ru:8080 など)へ誘導されます。改ざんにより正規のホームページが感染源になってしまう点と、そのサイトにアクセスした PC が不正プログラムに感染させられ、新たな感染源になって二次、三次の被害が拡大し続ける点が特徴となっています。
2009年12月21日にこのマルウェアを検知してから2010年1月24日までの間、カスペルスキーでは国内 380 以上の感染サイトを確認しています。日本の大手企業サイトにおいても感染が確認されており、いまだ十分な警戒が必要です。
当該攻撃では、正規のサイトが改ざんされ、不正ページへリダイレクトするスクリプトが埋め込まれているため、閲覧者側には、表面上の変化はありません。そのため、知らぬ間に感染の危険性にさらされることになります。また、様々なマルウェアのダウンロードが次々に試みられる可能性があるため、感染が確認された場合は、対策として OS の再インストールをお勧めします。
■Gumblar 亜種と Pegel の主な違い
|
Kaspersky Internet Security 2010 搭載機能であるサンドボックスは、すべての挙動が監視される独立した隔離スペース(サンドボックス)を仮想化技術により PC 上に作り出し、その中でアプリケーションを実行する機能です。従来のウイルス定義ファイルなどで検出できなかったような悪意あるコードを実行してしまったとしても、仮想環境の内部であれば被害を食い止めることができます。
この製品は、Web ブラウザを仮想実行スペースで起動できるように標準セットアップされます。この仕組みを“セーフ・ブラウジング(Safe Browsing)”と呼びます。
今回の攻撃も Web 経由で配信されていますが、仮想環境内で Web ブラウザを実行することで、こうした感染被害を仮想環境内に限定できる上、Web ブラウザを終了してしまえば仮想環境内部はマルウェアを含めて完全に消去できるので、PC の安全性が飛躍的に高まります。また、Web ブラウザに限らず、任意のアプリケーションを仮想実行スペースで実行することも可能です。
カスペルスキー製品では、現在出まわっている新型の脅威に対応していますので、感染の確認ならびに駆除を行うには、評価版をご利用ください。
