japan.internet.com
テクノロジー2010年3月3日 16:30
文字サイズ文字サイズ小文字サイズ中文字サイズ大

Gumblar 対策:BlueCoat の場合は監視クラウド WebPulse

この記事のURLhttp://japan.internet.com/webtech/20100303/7.html
著者:japan.internet.com 編集部
国内internet.com発の記事
小林岳夫氏
小林岳夫氏
昨年夏に猛威を振るった Gumblar であるが、日本国内ではまた最近、その脅威が再燃しているという。

ネットワーク高速化製品ベンダーのブルーコートシステムは2010年3月3日、報道機関向けに Gumblar に関する説明会を開催、Gumblar の詳細を明らかにするとともに、同社プロキシ製品である「ProxySG」と「BlueCoat Web Filter」による防衛の仕組みを説明した。

説明を行ったのは、ブルーコートの SE ディレクタ、小林岳夫氏。

同社では Gumblar(ガンブラー、別名 GENO ウイルス)を、「主に Web を媒体として感染させる手口で、マルウェアそのものの名称というよりはむしろ、その攻撃手法を示す広義での脅威名称」と定義する。

さて、Gumblar の国内の過去3か月間のサイト改竄被害報告は372件あり、その中には、JR 東日本、民主党東京都総支部、本田技研、モロゾフ、ハウス食品、信越放送、ローソン、京王電鉄などのメジャーなサイトも含まれている。また、被害にあったサイトの中には、1度ならず2度も改竄されたものもあるという、対策を講じるのがやっかいな脅威でもある。

Gumblar の攻撃の特性は、まず、HTTP/HTTPS の Web を利用した感染であることだ。

善良かつ著名なサイトに、判別が困難な HTML ヘッダやスクリプトなどのコードを埋め込み、そこにアクセスしたユーザーは、悪意のある不正サイトにリダイレクトされるが、ユーザーはこれにまったく気づかない。

不正サイトからユーザーの PC に対して、最初の“マルウェア”がダウンロードされる。この“マルウェア”は、セキュリティホールを攻撃、また他の不正なプログラムをダウンロードし、実行する。この際利用されるのは、IE や Adobe、Flash、MS-Office などの、脆弱性未修正の古いバージョンだ。

“マルウェア”はまた、新たな“マルウェア”のインストールを促すが、ユーザーの PC が感染すると通信モニタリングを開始、Web サーバー管理用 FTP アカウントを漏洩させる。

小林氏は、3種類のガンブラー対策がある、と指摘する。

ひとつは、通常のシグニチャベースのアンチウイルス製品による対策だが、対応するパターンファイルの更新まで時間がかかること、また、マルウェア本体がダウンロードされてから、ゲートウェイや PC 上のクライアントでのチェックになるため、感染拡大のリスクが残る。

また、IE や Adobe、Flash、MS-Office などの PC 上のアプリケーションのバージョンアップは、最初のマルウェア本体のダウンロード時点でブロックできるが、バージョンアップできないユーザー、しないユーザーがいた場合、効果がない。

さらに、悪意あるスクリプトを埋め込まれたサイトでの対策は、ブロックしようとすると、このサイト自体を閉じるしかないが、そうなると、インターネットで情報を得られない状況が発生することになる。

Gumblar 対策として、同社の ProxySG のオプションに「BlueCoat Web Filter」を付けると、マルウェア検出機能は「Blue Coat WebPulse」と連動し、不正サイトへのアクセスを完全にブロックするので、そもそもユーザーは不正サイトにリダイレクトされることはない、と小林氏は説明した。

なぜなら、まず、ユーザーがアクセスしようとするリダイレクトサイトの URL が WebPulse データセンターに送られ、そこでマルウェアの検出と評価、また Web コンテンツが分析される。

WebPulse はコミュニティ型の監視クラウド防御機能であり、データベースはリアルタイムでアップデートされているので、マルウェアはここで検出されるからだ、という。

ガンブラーの手口
Gumblar の手口


BlueCoat の場合のガンブラー対応
BlueCoat の場合の Gumblar 対策


japan.internet.comのウエブサイトの内容は全て、国際法、日本国内法の定める著作権法並びに商標法の規定によって保護されており、その知的財産権、著作権、商標の所有者はインターネットコム株式会社、インターネットコム株式会社の関連会社または第三者にあたる権利者となっています。
本サイトの全てのコンテンツ、テキスト、グラフィック、写真、表、グラフ、音声、動画などに関して、その一部または全部を、japan.internet.comの許諾なしに、変更、複製、再出版、アップロード、掲示、転送、配布、さらには、社内LAN、メーリングリストなどにおいて共有することはできません。
ただし、コンテンツの著作権又は所有権情報を変更あるいは削除せず、利用者自身の個人的かつ非商業的な利用目的に限ってのみ、本サイトのコンテンツをプリント、ダウンロードすることは認められています。
Copyright 2012 internet.com K.K. (Japan) All Rights Reserved.