Gumblar 対策：BlueCoat の場合は監視クラウド WebPulse

小林岳夫氏

昨年夏に猛威を振るった Gumblar であるが、日本国内ではまた最近、その脅威が再燃しているという。

ネットワーク高速化製品ベンダーのブルーコートシステムは2010年3月3日、報道機関向けに Gumblar に関する説明会を開催、Gumblar の詳細を明らかにするとともに、同社プロキシ製品である「ProxySG」と「BlueCoat Web Filter」による防衛の仕組みを説明した。

説明を行ったのは、ブルーコートの SE ディレクタ、小林岳夫氏。

同社では Gumblar（ガンブラー、別名 GENO ウイルス）を、「主に Web を媒体として感染させる手口で、マルウェアそのものの名称というよりはむしろ、その攻撃手法を示す広義での脅威名称」と定義する。

さて、Gumblar の国内の過去3か月間のサイト改竄被害報告は372件あり、その中には、JR 東日本、民主党東京都総支部、本田技研、モロゾフ、ハウス食品、信越放送、ローソン、京王電鉄などのメジャーなサイトも含まれている。また、被害にあったサイトの中には、1度ならず2度も改竄されたものもあるという、対策を講じるのがやっかいな脅威でもある。

Gumblar の攻撃の特性は、まず、HTTP/HTTPS の Web を利用した感染であることだ。

善良かつ著名なサイトに、判別が困難な HTML ヘッダやスクリプトなどのコードを埋め込み、そこにアクセスしたユーザーは、悪意のある不正サイトにリダイレクトされるが、ユーザーはこれにまったく気づかない。

不正サイトからユーザーの PC に対して、最初の“マルウェア”がダウンロードされる。この“マルウェア”は、セキュリティホールを攻撃、また他の不正なプログラムをダウンロードし、実行する。この際利用されるのは、IE や Adobe、Flash、MS-Office などの、脆弱性未修正の古いバージョンだ。

“マルウェア”はまた、新たな“マルウェア”のインストールを促すが、ユーザーの PC が感染すると通信モニタリングを開始、Web サーバー管理用 FTP アカウントを漏洩させる。

小林氏は、3種類のガンブラー対策がある、と指摘する。

ひとつは、通常のシグニチャベースのアンチウイルス製品による対策だが、対応するパターンファイルの更新まで時間がかかること、また、マルウェア本体がダウンロードされてから、ゲートウェイや PC 上のクライアントでのチェックになるため、感染拡大のリスクが残る。

また、IE や Adobe、Flash、MS-Office などの PC 上のアプリケーションのバージョンアップは、最初のマルウェア本体のダウンロード時点でブロックできるが、バージョンアップできないユーザー、しないユーザーがいた場合、効果がない。

さらに、悪意あるスクリプトを埋め込まれたサイトでの対策は、ブロックしようとすると、このサイト自体を閉じるしかないが、そうなると、インターネットで情報を得られない状況が発生することになる。

Gumblar 対策として、同社の ProxySG のオプションに「BlueCoat Web Filter」を付けると、マルウェア検出機能は「Blue Coat WebPulse」と連動し、不正サイトへのアクセスを完全にブロックするので、そもそもユーザーは不正サイトにリダイレクトされることはない、と小林氏は説明した。

なぜなら、まず、ユーザーがアクセスしようとするリダイレクトサイトの URL が WebPulse データセンターに送られ、そこでマルウェアの検出と評価、また Web コンテンツが分析される。

WebPulse はコミュニティ型の監視クラウド防御機能であり、データベースはリアルタイムでアップデートされているので、マルウェアはここで検出されるからだ、という。

BlueCoat の場合の Gumblar 対策

Twitter	iPhoneアプリ / iPadアプリ		Androidアプリ
Facebook	RSS	ニュースメール