logo

日本で最近発生している「ガンブラー」攻撃について

状況分析-何が起こっているのか?
日本ではコンピュータウイルス「ガンブラー」によるWebサイトの感染が3,500例以上も発生し、これらのWebサーバのセキュリティが破られた形跡があるところから、企業は管理用パスワードをもっと厳密にガードする必要があります。管理用パスワードの窃盗は遠隔操作または現場で起こります。ハッカーはボット・アプリケーションによるスニファリングまたはサーバそのものへのアクセスを仕掛けてくるでしょう。いずれの場合も、ひとたび管理者権限が脅威にさらされると、ハッカーはその場所にかかわらずいつでも攻撃ができるようになります。

FortiGuard<TM> Labの調査結果
私たちは、何度かガンブラー攻撃を検出し、この攻撃(ウェブ感染媒介)の第一段階として、たびたび毎月発行しているウイルスレポートに姿を見せています。例えば、2009年の12月には、JS/PackRedir.A!tr.dldrが2位にランクインしました。一度、ガンブラーによって悪用されると、多数のマルウェアバイナリが犠牲者のPC上にロードされてしまい、しばしばBredolabボットネットによって実行されてしまいます。Bredolabは、2010年も続いて検出したマルウェア第1号です。したがって、ガンブラー攻撃はBredolabに関連付けることができます。Bredolabは、彼らの攻撃の表面を拡大させるために使われるモジュールを盗むFTPのように、ボットネットを他の悪意のあるコンポーネントを持ち出すためのローディングツールとして使います。

さらに、回復したファイルの大部分は、HTML、JS、PHPスクリプトへのコード注入を含む様々な方法で感染させられていました。被害者はインターネットから無料のJSスクリプトをダウンロードすることで危険にさらされ、これらのスクリプトがブラウザやプラグイン(例えばAdobe Reader/Flashプレイヤー)のよく知られた脆弱性を攻撃することで、被害者のパソコンをコントロールするのです。こうした脆弱性の例としてはCVE-2008-2992、CVE-2008-0655、CVE-2009-0927、CVE-2007-0071が挙げられます。CVE-2007-0071という脆弱性に関していえば、GumblarはFortiGuard Centerブログの最近の記事「Flash Mob Episode II: Attack of the Clones(フラッシュモブ・エピソードII:クローンの攻撃)」で取り上げたのと同様のランタイムパッカーを使用しています。

企業はどのようにネットワークを守ればよいのでしょうか?
企業は下記のような全般的なパスワード窃盗防止手順を実施することで、ネットワークが保護できます。
(1)パスワードをプレーンテキストで保存してはいけません。
(2)FTPなどプレーンテキストを使用する通信プロトコルの使用を避けましょう。かわりにFTPS、FTPESまたはSFTPを使用してください。
(3)更新済みのアンチウイルス・プログラムを使用しましょう。
(4)すべてのソフトウェア、とりわけブラウザとプラグインに最新のパッチを適用しましょう。
(5)作業終了後は必ずサーバからログアウト。ログオン中はサーバから物理的に離れてはいけません。
(6)ネットワークにはゲートウェイセキュリティが施されていることを確認してください。
(7)信頼できないWebサイトまたは人員にはパスワードを渡さないでください。

フォーティネットの顧客は、相次ぐガンブラー攻撃からネットワークをどのように守っているのでしょうか?
(1)疑わしいファイルまたはWebサイトは分析のためFortiGuard Centerに通知します。
(2)当社はGumblar関連の既知の感染をキャッチするため、ウイルスおよびIPS検知シグネチャを開発しましたので、常にアップデートを行ってください。また当社はC&C(command-and-control )通信をブロックするために専用のIPSシグネチャを開発し配信しています。
(3)ネットワークセキュリティ用のFortiGateアプライアンスと、デスクトップクライアントおよびサーバ用のFortiClientソフトウェアを確実に導入してください。
(4)この攻撃はブラウザおよびプラグインの既知の脆弱性を悪用するため、インストール済のソフトウェアすべてに最新のアップデートでパッチを当ててください。
(5)最後になりましたが、大事なこととして、感染の疑いがある場合はただちにすべてのパスワードを変更して、あらゆるパッチを適用してください。

※フォーティネットの名称はFortinet, Inc.の登録商標です。Fortinet、FortiGate、FortiGuard、 FortiGuard、FortiManager、FortiMail、FortiClient、FortiCare、FortiAnalyzer、FortiReporter、FortiOS、FortiASIC、FortiWiFi、FortiSwitch、FortiVoIP、FortiBIOS、FortiLog、FortiResponse、FortiDBおよびFortiWebはFortinet Corporationの米国およびその他の国における登録商標です。その他製品名などはそれぞれ各社の登録商標です。

用語解説

フォーティネット会社概要 (リンク)
フォーティネット(NASDAQ: FTNT)は、ネットワークセキュリティアプライアンスの世界的なプロバイダーでUTMのマーケットリーダーです。フォーティネットの製品とサブスクリプションサービスは、絶えず進化するネットワークの脅威に対し、広範で統合された高いセキュリティ機能を提供すると共に、ITセキュリティのインフラを簡素化します。顧客には、2009年度のフォーチュン100の大半を含む大企業、サービスプロバイダー、世界中の官公庁などが含まれます。フォーティネットの主力製品であるFortiGate製品シリーズは、アプリケーションおよびネットワークの脅威から保護するために設計された、高速なASIC性能を提供し、セキュリティの複数レイヤーを統合しています。フォーティネットの広範な製品ラインはUTMにとどまらず、エンドデータベースやアプリケーションを含み、エンドポイントから境界部や中核まで、企業全体を守ります。フォーティネットはカリフォルニア州サニーベールに本社を置き、世界中にオフィスを有しています。

本プレスリリースは発表元企業よりご投稿いただいた情報を掲載しております。
お問い合わせにつきましては発表元企業までお願いいたします。