at+link からのお知らせ

2010.01.06
Gumblar ウイルスによるウェブサイト改竄に関する注意

Gumblar ウイルスの新しい亜種により大手企業のウェブページが改竄され、
そのサイトにアクセスした PC が更にウイルスに感染するという事例が
ニュースになっております。

■ Gumblar ウイルスとは

参考情報
ウェブサイト管理者へ：ウェブサイト改ざんに関する注意喚起—IPA（独立行政法人情報処理推進機構)
GENOウィルスに感染しないために—ITNAVI.com
Gumblar—IT用語辞典 e-Words
※ GENO ウイルスは Gumblar ウイルスの別名です。

このウイルスは、Linux サーバに感染するものではありませんが、
ウェブコンテンツのアップロード等に使用している PC に感染した場合には、
サーバ上のウェブページの改竄やウイルスのアップロードが行われる危険性があります。

（改竄されたウェブサイトにアクセスした場合、アクセス元の PC に感染する可能性があります。）

ウイルスの特徴について簡単に記載いたします。

• Adobe Flash Player や Adobe Acrobat Reader の脆弱性を利用しており、脆弱性があるバージョンの上記ソフトウェアがインストールされているPC からアクセスした場合、サイトを閲覧しただけで感染する可能性がある。
• 2010/01/06 現在、Linux サーバへは直接感染しない。
• Windows Server 2003 / 2008 への感染事例は現状ない。
• ウイルスに感染すると次のようなことが行われる。
  • (1) Google 検索結果の書き換え
  • (2) FTP ログイン情報の奪取
  • (3) ウェブページの改竄とウイルスのアップロード
• PC の感染によりウイルスがサーバへアップされ、感染を誘発する可能性がある。(サーバはウイルスに感染しないが、感染の媒体にされる)。
• 多数の亜種が存在し、ボット機能を備えるものもある。

■ 対策について

本ウイルスの対策は次の通りです。

-----------------------------------------
○クライアントPC側の対策

(a) 最新ウイルス定義ファイルでのウイルスチェックの実施
(b) Adobe Flash Player, Adobe Acrobat, Reader のバージョンアップ
(c) Adobe Acrobat, Reader の JavaScript の無効化
(d) Java 実行環境（JRE）のアップデート
(e) FTP ソフトウェアに ID・パスワードを保存しない

その他各種ウイルスに備え、QuickTime などその他ソフトウェアのアップデート、Windows Update, Microsoft Updateの実施をおすすめします。

※ Mac OS については、現段階において被害は報告されていません。

○サーバ側の対策

FTP サーバのアクセス環境を再度ご確認ください。

○サーバ側の確認方法
Red Hat Enterprise Linux ES4 / 5 では、FTPの接続内容が
【/var/log/vsftpd.log】ファイルに記録されています。

身に覚えのない接続がないか確認する場合は、
このファイルをご確認ください。


先の IPA のサイトでは、公開されているウェブページのソースコードを確認し
不正なスクリプト(意味不明な文字列)が含まれていないかの確認も奨励されて
います。
ウイルス対策がなされた安全な環境にて、ホームページ編集ソフト等を使用し
ホームページのソースコード(htmlファイルやjsファイルの内容)をご確認
ください。