セキュリティアナリストコラム
川口洋のセキュリティ・プライベート・アイズ（22）

新春早々の「Gumblar一問一答」

川口　洋
株式会社ラック
JSOCチーフエバンジェリスト兼セキュリティアナリスト
CISSP
2010/1/20

　皆さん明けましておめでとうございます。川口です。2010年も引き続き「川口洋のセキュリティ・プライベート・アイズ」をよろしくお願いします。このコラムも20回を超え、初めてお会いした方が読んでくださっていたということも増えてきました。これからもJSOCという特別な場所から見える風景をお伝えしようと思っています。

　前回のコラム「実はBlasterやNetsky並み？ 静かにはびこる“Gumblar”」で書いたGumblarの被害がいまも継続しています。特に年が明けてからは、大手サイトの改ざん事件が報道され、注目がさらに集まっているようです。JSOCのお客様でも感染被害やホームページ改ざん被害が継続しており、新年早々のんびりはできないようです。

　今回のコラムはスタイルを変えて、私がGumblarについてよく質問されることについて答えるかたちで、Gumblarの現状を説明します。厳密には、このウイルスはウイルス対策ソフトの会社ごとに異なる名前を付けていますが、アカウント情報を盗用してホームページを改ざんするインシデントに関係しているウイルスを、今回はすべて「Gumblar」とします。

■Gumblar、よく聞かれる質問

●相変わらずGumblar被害は続いていますか？

　答えは「Yes」。JSOCではGumblarに感染したお客様の通信を2009年11月から継続して確認しています。

●いまに始まった問題ではないのに、なぜこんなに騒いでいるんですか？

　大手のサイトが改ざんされたことと、それをマスメディアによって大きく取り上げられたことが影響しています。攻撃手法自体は大きな変化はありませんので、いままでお伝えした対策を取ってもらえれば問題ありません。

●そもそも、誰にとって脅威なの？

　2つの脅威が挙げられます。

1. Webサイト改ざんという脅威
   　改ざんされたWebサイト運営者の脅威になるのは当然ですが、それよりも事業継続上、極めてクリティカルになるのは、Webコンテンツ制作会社や運用会社です。発注者から賠償請求までいかなくても、減額要求、場合によっては解約される危険性が高いです。
   
   
2. Gumblar感染という脅威
   　 感染者本人の脅威もありますが、社内のシステムやネットワーク管理者にとって、多大な負荷がかかるだけではなく、業務怠慢や管理ミスなどのあらぬ疑いをかけられ、評価を下げられるなどの人事評価的脅威になる危険性があります。

●ソフトウェアのアップデートをしておけば大丈夫ですか？

　おおむね「Yes」。Windows UpdateやFlash Player、Adobe Reader、Javaのアップデートは必須です。さらに最近では未対応のAdobe Readerのぜい弱性が利用されるため、Adobe ReaderのJavaScriptを無効化も設定すべきです（2010年1月15日現在、Adobe Readerの最新バージョン9.3がリリースされています）。

　しかし、実際の環境には業務アプリケーションの都合などによりアップデートされていない、もしくはアップデートできない環境もあります。また、アップデート作業をユーザー個人に依存している環境では、対策漏れが発生しています。FTPでのWebサイト更新に利用するPCがアップデートできないのであれば、そのPCでのWebブラウジングは控えるべきです。

●ウイルス対策ソフトの最新パターンファイルは対応しているんですか？

　多数の亜種があり、そのすべてに対応しているとはいえない状況です。攻撃者は作成したウイルスをVirusTotalのようなサイトでチェックし、どこのウイルス対策ソフトにも検知されないことを確認してからリリースできます。その結果、パターンファイルが対応していない時間が発生します。パターンファイルが対応したころに、また新しいウイルスをリリースすれば、攻撃者は常に検知できないウイルスを使い続けることができます。

　私個人の感想では、ウイルス対策ソフトのメーカーはどこもパターンファイルの更新は頑張っていると思いますが、守る側にとってあまりに分が悪い状況であると考えています。しかも、ひとたびGumblarに感染してしまうと、ウイルス対策ソフトのアップデート通信が妨害されます。メーカーが最新のパターンファイルを作っても、ユーザーのパソコンに配信できないことが、Gumblarの発見をさらに遅らせる原因となっています。

●ファイアウォールで止めることはできますか？

　Gumblarが行う通信を以下の3種類に整理して、解説します。

• Gumblarに感染する通信→「No」
  できなくはありませんが、該当するIPアドレスが多数あり、変化が激しいため追い付きません。
  
  
• Gumblarが外部と行う通信→部分的に「Yes」
  JSOCからの注意喚起では通信先のIPアドレスを記載していましたが、徐々に増えており、そろそろ把握ができなくなる可能性があります。
  
  
• GumblarによるFTPログイン＆改ざん通信→部分的に「Yes」
  最初からアクセス制御できている環境であれば被害は発生していないはずです。攻撃元のIPアドレスをBlockすることもできなくはありませんが、該当するIPアドレスが多数あり、変化が激しいため追い付きません。

●IDS／IPSで止めることはできますか？

• Gumblarに感染する通信→「No」
  難読化が行われているため検知しません。またHTTPレスポンスのデータをチェックすることになり、IDS/IPSのパフォーマンスが低下するため運用が難しいです。
  
  
• Gumblarが外部と行う通信→部分的に「Yes」
  JSOCでは独自シグネチャ(JSIG)を作って検知させていますが、亜種に対応し続けなければなりません。
  
  
• GumblarによるFTPログイン＆改ざん通信→「No」
  通常のFTP通信を利用するため、ほぼ見分けがつきません。

●WAFで止めることはできますか？

　これは「No」。Webアプリケーションを狙った攻撃ではないためです。HTTPレスポンスに不審なJavaScriptが含まれているかどうかをチェックできれば発見できるかもしれませんが、パフォーマンスとシグネチャの更新という点で大きな課題があります。

●感染したPCから、直接ほかのPCに感染しませんか？

　現在のところ感染機能はないようですが、感染機能がないことが発見を遅らせている可能性があります。対照的に、Confickerは感染機能があるがゆえに被害も大きくなりましたが、発見も比較的容易でした。また、Gumblarに感染するパソコンはGumblar以外のウイルスにも感染している可能性が高いため、結果的に感染行為を行う可能性が高いです。

●FTPのアカウントを盗むんですか？

　これは「Yes」。いまのところはFTPのアカウントを対象としています。FTP通信からアカウントを盗むだけではなく、ローカルに格納されているアプリケーションの設定ファイルからもアカウントを盗みます。

　現時点ではFTPを使っていなければ影響はありませんが、技術的にはsshやPOP3のアカウントを盗むように改変することは可能です。Gumblar以外ではすでに数年前から、インスタントメッセンジャーやネットゲームのアカウントを盗むウイルスもいますので、改変された亜種が出現する可能性は十分にあるでしょう。

●盗まれたデータはどうなるの？

　直接的にはFTPサーバにログインしてホームページ改ざん行為に使われます。そのほかの用途への悪用については確認できていませんが、ブラックマーケットに流出して取引されるでしょう。一度漏えいしたアカウントは即変更するべきです。

●いまの時代にFTPを使っているところがあるんですか？ しかも接続可能なIPアドレスを制限していないんですか？

　残念ながら多数のサイトでFTPを利用されています。さらに接続可能なIPアドレスの制限もされていないサイトが多数あるようです。われわれセキュリティエンジニアの常識からするとFTPをやめてSSHを使うとか、IPアドレスで制限をするということは当たり前と考えてしまいますが、それが実施できない環境が多数あるのも事実です。

　多くのビジネスの環境で、IPアドレス制限などの対策は「できるんだったらとっくにやってる」というものの、被害にあうと実行できるのは皮肉なものです。

●どんな風に改ざんされるんですか？

　ホームページのコンテンツに難読化されたJavaScriptが挿入されます。JavaScriptの前には以下のような文字列も追加されており、一見すると害のない文字列であるようにカモフラージュしています。

/*GNU GPL*/ /*CODE1*/ /*LGPL*/

　すべてのホームページのコンテンツを1人で開発しているのであれば、これらの文字列が挿入されていれば異変に気付くことができるかもしれません。しかし、これらの文字列は新しいものに変化しており、このコラムがリリースされるころにはまったく違う文字列が挿入されるように変化している可能性があります。

　これらの文字列を確認することで、一時的に「被害にあっていること」を確認することは可能ですが、「被害にあっていない」ことを確認するには不十分でしょう。

●ガンブラーとカタカナ表記になるのがイヤなんですが……

　あきらめましょう。私もなじめませんが、世の流れです。

●なんでもかんでもGumblarと表現されるのがイヤなんですが……

　 それもあきらめましょう。われわれの望む区別を世間は望んでいないのでしょう。

●もうGumblarへの対応に疲れちゃったんですが……

　 お疲れ様です。一緒に飲みに行きましょう:-)。

■あらためて、Gumblar対策の整理

　今回はGumblarの現状について解説しました。Gumblarの対策は、ラックからの注意喚起、第16回、第21回のコラムに記載した内容と変わりありません。

【関連記事】 【注意喚起】Gumblar（ガンブラー）ウイルスの組織内感染拡大とホームページ改ざん被害増加に伴う対策の確認 http://www.lac.co.jp/info/alert/alert20091225.html 川口洋のセキュリティ・プライベート・アイズ（16） 分かっちゃいるけど難しい、アカウント情報盗用ボット対策 http://www.atmarkit.co.jp/fsecurity/column/kawaguchi/016.html 川口洋のセキュリティ・プライベート・アイズ（21） 実はBlasterやNetsky並み？静かにはびこる“Gumblar” http://www.atmarkit.co.jp/fsecurity/column/kawaguchi/021.html

　いままでにお伝えしていないもので大きな変化は「MyJVN バージョンチェッカ」が公開されたことでしょう。

【関連リンク】 MyJVN バージョンチェッカ http://jvndb.jvn.jp/apis/myjvn/#VCCHECK

　これを使うと、Gumblarの感染活動で狙われるソフトウェアが最新の状態であるか確認できます。現在はいくつかの限定的なソフトウェアがチェック対象のようですが、利用者が多くなるとよりたくさんのソフトウェアに対応してもらえるかもしれません。

---

　2009年の年始は、2008年末から急増したSQLインジェクションによるホームページ改ざんの対応に追われていました。2009年はさらにSQLインジェクションをはじめとしたWebアプリケーションへの攻撃が増加するのかと戦々恐々としていましたが、幸いなことに2008年末からのSQLインジェクションは収束傾向にあります。代わりに2010年はGumblarによるホームページの改ざんに追われることになりました。

　そして私は、Gumblar対応に疲れたエンジニアと「新年会」と称して、今夜も飲みに行くのでした。

Profile

川口　洋（かわぐち　ひろし） 株式会社ラック JSOCチーフエバンジェリスト兼セキュリティアナリスト CISSP ラック入社後、IDSやファイアウォールなどの運用・管理業務をへて、セキュリティアナリストとして、JSOC監視サービスに従事し、日々セキュリティインシデントに対応。 アナリストリーダとして、セキュリティイベントの分析とともに、IDS／IPSに適用するJSOCオリジナルシグネチャ(JSIG)の作成、チューニングを実施し、監視サービスの技術面のコントロールを行う。 現在、JSOCチーフエバンジェリスト兼セキュリティアナリストとして、JSOC全体の技術面をコントロールし、監視報告会、セミナー講師など対外的な活動も行う。

川口洋のセキュリティ・プライベート・アイズ 連載インデックス

＠ITメールマガジン　新着情報やスタッフのコラムがメールで届きます（無料）