Symantecの報告では、Javascriptで書かれたものでFTPアカウントを盗まれて…ってGENOウイルスが増えてきているとのことだが、それの亜種が出続けているとのこと。

セキュリティ企業や組織が2009年5月13日以降、「JSRedir-R（ジェイエス・リダイレクト・アール）」あるいは「Gumblar（ガンブラー）」などと呼ばれるウイルスが感染を広げているとして注意を呼びかけている。シマンテックでは、2009年3月後半に、感染が広がり始めたことを確認している。

　このウイルスの実体はJavaScript（スクリプト）で書かれたプログラム。攻撃者は何らかの方法で正規サイトに不正侵入してWebページを改ざん。Webページ中にウイルスを埋め込む。シマンテックでは、WebサーバーのFTPアカウントを破られて侵入されている可能性が高いとしている。「5月11日以降、改ざんサイトが急増した」（シマンテック セキュリティレスポンス 主任研究員の林薫氏）。

　正規サイトのWebページを改ざんして、ウイルスに感染させるような「わな」を仕込む手口は、最近の攻撃者の常とう手段。ただし今回の攻撃では、「Webページごとに、仕込まれるウイルスの難読化が変えられていた」（林氏）ことが、従来の攻撃とは異なっていたという。

　難読化とは、特定のルールで変換するなどして、そのままではプログラムの内容が分からないようにすること。このルールが、Webページごとに少しずつ変えられていたので、「シグネチャ（ウイルス定義ファイル）ベースのセキュリティ対策ソフトでは、後手に回って、出現当初は検出できなかった恐れがある」（林氏）。

ログインしてください：日経 xTECH（クロステック）