このページの本文へ移動

富士通

"ガンブラー"ってなに?噂のガンブラーを徹底究明!

ガンブラーはウイルスやマルウェアの名称ではない!

改ざんされたサーバー2009年末から2010年初めにかけて世間を騒がした「ガンブラー」一度は耳にしたことがあるのではないでしょうか。「ガンブラー」は一部の報道において、ウイルスやマルウェアの一種と混同されることがありますが、実際にはこれらの名称ではありません。では「ガンブラー」とは一体どのようなものなのでしょうか?

インターネットの脅威の1つに「ドライブバイダウンロード」と言われる攻撃があります。「ドライブバイダウンロード」とは、攻撃者があらかじめ用意したサイトへユーザーを不正に誘導し、悪質なマルウェアを自動的にダウンロードさせる攻撃手法のことです。ユーザーはそのサイトにアクセスしただけで、悪質なマルウェアを勝手にパソコンにダウンロードされてしまいます。(「ドライブバイダウンロード」について詳しくはこちら

「ガンブラー」はこのドライブバイダウンロードの手法を使って誘導したサイトのURLが "gumblar.cn" であったところから付いた名称です。「ガンブラー」は2009年3月〜5月頃に一時騒ぎとなりましたが、今回2009年末から2010年の初めにかけて一部企業のホームページを改ざんして世間を騒がせたものは、2009年5月の手口とは関係性が低いと見られています。

2009年5月以降は、手口の巧妙化に合わせて別の名前を付けてきましたが、最近は、これらの手口を総称して「ガンブラー」や「ガンブラーの亜種」などと呼んでいます。

予測できない巧妙なガンブラー攻撃

IPA (独立行政法人情報処理推進機構)によると、一般的に「ガンブラー」と呼ばれるこの一連の攻撃は、「ウェブサイト改ざん」と「ウェブ感染型ウイルス(ウェブサイトを閲覧するだけで感染させられてしまうウイルス)」を組み合わせて、多数のパソコンにウイルスを感染させようとする攻撃手法のことを指します。

今回の「ガンブラー」攻撃は、攻撃者が誘導するサイトのURLを自由に変更することができ、それに伴いユーザー側で実行されるマルウェアやウイルスの種類が多種におよぶ可能性があります。すべての攻撃が同じURLや同じマルウェアを使うわけではないので、ユーザーのパソコンが最終的にどのようなウイルスに感染し、どういった被害が発生するかを事前に予測することができないのが「ガンブラー」攻撃の難しさです。

「ガンブラー」攻撃の仕組みを知ろう

このように大変複雑で巧妙化された攻撃である「ガンブラー」を解析するためには、攻撃者、被害者、ウイルスの個々の要素がどのように関係しているかを理解する必要があります。以下の図解をご覧ください。

「ガンブラー」攻撃の仕組み

(1)正規サイトのURLをWEBブラウザに入力
攻撃者は事前にサイト管理用ID/パスワードを不正に盗み出してこのWEBページを改ざんし、訪れたユーザーを別のサイトに自動転送するよう設定しています。

(2)正規サイトへアクセス
ユーザーはWEBページが改ざんされていることがまったくわからない状態で、正規のWEBサイトを開きます。

(3)悪意あるサイトへ誘導
ユーザーがWEBページを開いた瞬間に、攻撃者によって仕掛けられたドライブバイダウンロードによって、あらかじめ用意された別のサイトに自動転送されます。

(4)(5)マルウェア・ウイルスの感染
悪意あるサイトに仕掛けられた攻撃により、マルウェアやウイルスのファイルがユーザーのパソコンにダウンロードされます。

(6)個人情報の送信
ユーザーの個人情報が攻撃者に自動的に送信されてしまいます。

ガンブラー攻撃による被害

「ガンブラー」攻撃の被害として、次に挙げる事例がIPA (独立行政法人情報処理推進機構)より報告されています。

  • 偽のセキュリティ対策ソフト(ウイルスが発見されたという偽の表示を行い、駆除するために偽セキュリティ対策ソフトの「有償版」の購入を迫るウイルス)
  • ウェブサイト管理用のIDとパスワード(ftpのアカウント情報)を盗み出すウイルス

また次の場合には「ガンブラー」攻撃によるウイルス感染の疑いがあるとされています。

  • "Windows Update"、"Microsoft Update"が実行できない
  • 各種セキュリティ対策ソフトのベンダー(開発、販売会社)のウェブサイトへ接続できない
  • ウイルス対策ソフトのウイルス定義ファイル(パターンファイル)を最新のものに更新できない

「ガンブラー」攻撃は攻撃者が自在にマルウェアを操作できるため、サイトに仕掛けられているマルウェアの種類を事前に特定することができません。しかし、近年流行しているマルウェアや「ガンブラー」攻撃の手口として使われる可能性があります。

近年流行しているマルウェアには、従来のパソコン内のデータを破壊するタイプ以外に、個人情報やオンラインバンキング・オンラインゲーム等のID/パスワードを盗み出すもの(スパイウェア)や、パソコンを乗っ取って遠隔操作で悪事を働くもの(ボット)など大変危険なものがあるため、今後ますますの注意が必要でしょう。

「ガンブラー」攻撃からあなたのパソコンを守るためには…

「ノートン インターネット セキュリティ」などの総合セキュリティ対策ソフトを利用しましょう。ガンブラー攻撃の被害を受けないようにしっかりセキュリティ対策することをお勧めいたします。

次回は「ガンブラー攻撃の対策」について詳しく説明します。



[提供:シマンテック]

Norton製品の購入 WEB MART


ページの先頭へ