「Gumblar」、姿を変えて急速に拡散--セキュリティ専門家らが警告

　セキュリティ専門家によると、急速に広まるウェブサイトでのセキュリティ侵害の背後にいる攻撃者は、悪意のあるコードを配布するために新しいドメインを使い始めたという。

　この攻撃は、ScanSafeは「Gumblar」、Sophosは「Troj/JSRedir-R」と総称しており、ScanSafeは先週後半に、1週間で188％まで増加したと述べている。Sophosによると、先週ウェブサイトで発見されたすべての感染のうち42％がGumblarの感染だったという。

　ウェブページに埋め込まれた悪質なコードの検出サービスを提供するUnmask Parasitesによると、先週末にかけて、悪質なコードの配布に使われていた中国のウェブドメイン「gumblar.cn」は、応答しなくなったという。しかし、Unmask Parasitesは米国時間5月18日、この攻撃の悪質なペイロードは、「martuz.cn」ドメインという別のソースから引き続き配布されていると、勧告の中で述べている。

　「攻撃者はスクリプトをわずかに変更し、今は新しいドメインから悪質なコンテンツをロードする新バージョンが出回っている」とUnmask Parasitesは言う。

　Unmask Parasitesは、スクリプトが変更されたことで特定が今まで以上に難しくなっており、「Google Chrome」ブラウザでは検出が停止すると述べる。

　Gumblarは3月に初めて発見され、それ以来セキュリティ専門家の予想に反して急速に広まっている。

　ScanSafeのシニアセキュリティリサーチャーMary Landesman氏は先週末、勧告の中で次のように述べている。「一般的なウェブサイトのセキュリティ侵害は、最初の約1週間程度でピークに達し、その後は、著名なベンダーが検出機能を追加し、ユーザーの認知が高まり、ウェブサイトの運営者が感染したサイトからマルウェアの除去を始めるため、その勢いは衰えていく」

　だがGumblarの攻撃では、これと反対のことが起きている。1つにはウェブサイト管理者がその問題に対処しようとして、管理者自身が攻撃によって感染してしまうからだとScanSafeは言う。

　ScanSafeによると、Tennis.com、Variety.com、Coldwellbanker.comといったサイトが感染しているという。

　この攻撃は、複数の段階にわたって実行されている。まず3月に多数のウェブサイトがセキュリティ侵害を受け、攻撃コードがサイト内に埋め込まれたとScanSafeは言う。

　そして5月の初旬にウェブサイト運営者が自身のサイトで除去を始めると、攻撃者はオリジナルの悪質なコードに代えて、動的に生成され、高度に難読化されたJavaScriptを使用するようになった。これは、そのスクリプトがページによって変わり、セキュリティツールによる検出が難しくなるということを意味している。

　ScanSafeによると、このスクリプトは、Adobeの「Acrobat Reader」や「Flash Player」の脆弱性を突いてコードを拡散しようとするもので、そのコードは、ユーザーが「Internet Explorer」でGoogle検索を行う際に、悪意ある検索結果を導き出すという。