Kaspersky Labs Japan は、今年の春に猛威を振るった Gumblar (ガンブラー) に酷似した新たなマルウェアの検知について続報をお知らせいたします。
Kaspersky Labs Japan は、今年の春に猛威を振るった Gumblar (ガンブラー) に酷似した新たなマルウェアの検知について続報をお知らせいたします。
このマルウェア (Trojan-Downloader.JS.Gumblar.x) による被害の最大の特徴は、改ざんによって正規のホームページが感染源になっている点と、そのサイトにアクセスした PC が不正プログラムに感染させられ、新たな感染源になって二次、三次の被害が拡大し続ける点にあります。
この攻撃では、正規のサイトが改ざんされ、不正ページへリダイレクトするスクリプトが埋め込まれているため、閲覧者側には、表面上の変化はありません。そのため、知らぬ間に感染の危険性にさらされることになります。
リダイレクト先の不正ページには、実行ファイルや PDF、Flash といった形式をとる複数のマルウェアが準備されており、アクセスした利用者の環境に合わせたマルウェアの感染を試みます。感染に成功すると利用者の PC から FTP のログインパスワードなどを盗み出して、利用者が管理する Web サイト等を改ざんし、新たなマルウェアを仕掛けて、この Web サイトを閲覧した他の利用者にも感染を広めようとします。このため、急速に感染被害が拡大しつつあります。
10 月 14 日にこのマルウェアを検知してから、11 月 16 日現在まででカスペルスキーでは既に国内の 1250 以上の感染サイトを確認しており、先月 22 日当該脅威の発表時点より 20 倍以上の感染となっています。動画サイトやゴルフ関連サイト、神社や空港に至るさまざまな日本のサイトにおいて感染が確認されており、十分な警戒が必要です。
現在、大手 ISP や管理機関と共に、感染サイトのテイクダウン(閉鎖)に関する連携を行っています。
従来のガンブラーと比較して、調査を阻害するような機能が強化されていることが確認されています。このため、現時点ではほとんどのウィルス対策ソフトが対応できていない状態であり、十分な注意が必要です。
以下のような対策で、被害にあう可能性と二次感染の拡大を低減することができます。
- ブラウザなどの Script や ActiveX の設定を OFF にする。
- Adobe Reader と Flash Player に最新のパッチを適用する。
一度感染が確認された場合、パスワードが盗まれている可能性が非常に高いため、パスワードの変更を強く推奨いたします。
カスペルスキー製品では、現在出まわっている 新型 Gumblar に対応していますので、感染の確認ならびに駆除を行うには、評価版をご利用ください。
