JPCERT、Gumblar の全貌を公開

この記事のURLhttp://japan.internet.com/webtech/20101116/4.html

JPCERT コーディネーションセンター（JPCERT/CC）は2010年11月15日、「踏み台にされる Web サイト―いわゆる Gumblar の攻撃手法の分析調査―」を公開した。

2009年4月以降、注目を浴びている Gumblar だが、発生当初は、他の Web サイト改ざん事例と同列に見られていた。その後、調査が進むにつれ、Web サイトの改ざん手法や Web サイト改ざんの被害の規模、動作するマルウエアの挙動など、この攻撃の特徴的な実態が浮き彫りになってきたそうだ。

Gumblar は、細部の変化を伴いつつ、2010年10月現在も攻撃活動を継続しているという。

Gumblar の場合、ダウンロードされるマルウェアが FTP アカウント情報を盗み、この FTP アカウント情報で新たな Web 改ざんができるようになる。この循環が繰り返された結果、Gumblar はインターネット上の多数の Web サイトを改ざんし、その被害が拡大した。

Gumblar とは、正規 Web サイトに仕掛けを組み込み、ユーザーがアクセスすると、気が付かないうちに攻撃者の用意するサイトにリダイレクトする、それから、FTP アカウント情報を盗むためのマルウェアにユーザーの PC を感染させる、そして盗んだ FTP アカウント情報を使って Web を改ざんする、この一連の流れによる攻撃を指す。

しかし、その細部は一様ではなく、2009年4月に専門家の間で認知されて以来、継続的に種々の改造が加えられ、多様な変化をたどっているという。

この報告書では、攻撃内容および発生時期などから、Gumblar の攻撃手法を大きく3種類に分類して説明している。

 

 

 

japan.internet.comのウエブサイトの内容は全て、国際法、日本国内法の定める著作権法並びに商標法の規定によって保護されており、その知的財産権、著作権、商標の所有者はインターネットコム株式会社、インターネットコム株式会社の関連会社または第三者にあたる権利者となっています。
本サイトの全てのコンテンツ、テキスト、グラフィック、写真、表、グラフ、音声、動画などに関して、その一部または全部を、japan.internet.comの許諾なしに、変更、複製、再出版、アップロード、掲示、転送、配布、さらには、社内LAN、メーリングリストなどにおいて共有することはできません。
ただし、コンテンツの著作権又は所有権情報を変更あるいは削除せず、利用者自身の個人的かつ非商業的な利用目的に限ってのみ、本サイトのコンテンツをプリント、ダウンロードすることは認められています。