Informationインフォメーション

平素はイーネットソリューションズネットワークデータセンターサービスをご利用頂きまして誠に有難うございます。

現在、国内の企業HPにて相次いでおりますガンブラーウイルス感染によるHP改ざんについてですが、弊社よりお客様にウイルスの特徴および、感染対策などをご案内させていただきます。

1.ガンブラーウイルスの特徴

本ウイルスではサーバの脆弱性を利用・攻撃し、HPを改ざんする手法ではなく一般PCをウイルス感染させPCからHP更新のID、パスワードを入手し、サーバへ正規ログインを行いHPを改ざんするのが特徴です。

2.ガンブラーウイルスの活動

1. インターネット利用者が、ガンブラーウイルスにより改ざんされたHPサイトを閲覧
2. 閲覧者のPCに存在するセキュリティホールよりトロイの木馬などのウイルスに感染。
3. 閲覧者のPCからHPサイトの更新に使われるFTP（ファイル転送）のログインID、パスワードを盗む。
4. 盗んだログインID、パスワードを使って、HPを改ざん（ガンブラー感染コードをHPコンテンツに埋め込む）する。
5. 他の利用者にて1.からの活動が繰り返され、ガンブラーウイルス被害が拡大します。

3.ガンブラーウイルスの対策

ガンブラーウイルスは「ガンブラーウイルスの特徴」でも触れましたが、HP公開サーバへ直接攻撃するウイルスではなく、感染対象のPCに保存されているHP更新用IDとパスワードを盗み、その情報を使い、サーバへは正規のログインを行ってHPを改ざんする活動を行います。よって、クライアントPC側での感染対策が有効となります。

●クライアント側

クライアントPCでのウイルス対策およびセキュリティホールのメンテナンスが必要です。
ガンブラーでは現在のところ、セキュリティホールへの攻撃コードを含んだPDFファイルやFlashコンテンツをブラウザを経由し自動実行しPCをウイルス感染させます。
セキュリティホールのメンテナンスは、下記アプリケーションを最新バージョンへアップデートすることで実施できます。

• Microsoft Update（Windows Update）の実施
• Adobe Flash Player
  http://get.adobe.com/jp/flashplayer/?promoid=BPCKX
• Adobe Reader ※
  http://get.adobe.com/jp/reader/?promoid=BPBQN

※対策の施されたAdobe Readerのセキュリティアップデートは、1月13日の配布予定となっておりますが、それまでの暫定処置として以下の対策が有効です。
上記URLより最新版をダウンロードしアップデートした後、以下の設定を行なってください。
Adobe Readerのメニューバーから「編集」→「環境設定」を選択します。
メニュー左側の「分類」で「JavaScript」を選び、右側の「JavaScript」項目中の
「Acrobat JavaScriptを使用」のチェックを外した後、「OK」ボタンを押します。
（初期設定では「Acrobat JavaScriptを使用」がチェックされています）

●サーバ側

サーバ側では、正規のHP更新ログインIDとパスワードを使いログインしてくるウイルスに対して、接続制限を行うことが有効な対策と思われます。

ー 例 ー

• FTP接続IPの制限
• FTPパスワードへのワンタイムパスワードの導入
• FTPの利用を停止し、FTPに代わるSCPなどIDパスワード以外に鍵ファイルを必要とする運用に変更

4.ガンブラーウイルスに感染した場合

ガンブラーウイルスに感染したPCを発見した場合、またはガンブラーウイルスによりHPが改ざんされた場合は以下の対応を行ってください。

●クライアント側

お使いのウイルスソフトにて、最新のパターンファイルにアップデート後、ウイルススキャンを実施し、ガンブラーウイルスの駆除を実施します。

●サーバ側

＜暫定対策として＞
・FTPサービスを一時的に停止する
・HP更新用パスワードの変更を実施 ※

※ 感染したクライアントPCでの駆除を行わない限り、新しいパスワードで再改ざんされる可能性が高い為、感染PCの特定とウイルス駆除が最も重要となります。

＜亜種などへの対策として＞
FTPに代わる更新方法への切り替えを追って検討・実施することが有効。