GENOウイルスが大規模に出ているみたいで、NHKや朝日新聞で取り上げられています。

昨年末から今年初めにかけて、ホンダなどのホームページ（ＨＰ）が相次いで何者かに書き換えられ、新型コンピューターウイルスの「ガンブラー」を仕掛けられていた可能性があることがわかった。すでに公表されているＪＲ東日本のＨＰ改ざんと同型のウイルスで、被害は計５社、改ざんされたサイトの閲覧者は延べ７万人を超す。閲覧者は気づかぬ間に有害サイトに誘導され、自らのパソコンもウイルスに感染して被害を広げている可能性もあり、注意が必要だ。
不正改ざんが確認されたのはホンダ（東京都）、ＪＲ東日本（同）、信越放送（長野市）、ラジオ関西（神戸市）、モロゾフ（同）の５社。被害は全国に広がっており、さらに増える可能性もある。

http://www.asahi.com/national/update/0105/TKY201001050398.html

NHKも出しています

企業のホームページが不正に書き換えられる被害が相次ぐ中、神戸に本社がある洋菓子メーカー「モロゾフ」のホームページが何者かに不正に書き換えられ、一時、ホームページを閲覧するとコンピューターウイルスに感染するおそれがあったことがわかりました。モロゾフは、５日、ウイルスを駆除するなどの対策を取りました。

http://www3.nhk.or.jp/news/t10014803771000.html

なんと民主党東京都総支部のサイトがGENOウイルスの被害にあっていたとのこと。

民主党東京都総支部のウェブサイトが、2009年末から年明けにかけて改ざん被害に遭っていたことがわかった。政治的な意図による改ざんではないと見られている。

同支部連合会事務局によれば、2009年12月25日昼過ぎに海外から不正アクセスを受け、サイト上に不正なコードが埋め込まれたもので、問題のページを閲覧した場合、ウイルス「Gumblar」の亜種へ感染するおそれがあったという。

年明けの1月3日夜に事務局へ民主党支援者から通報があり、改ざんが判明。翌4日に改ざんされたページの公開を中止した。

【セキュリティ ニュース】民主党サイトが年末から年始にかけて改ざん - 政治的意図なし（1ページ目 / 全1ページ）：Security NEXT

そして、ローソンまで

ローソンは1月6日、同社の採用サイト「http://www.lawson-recruit.jp/」が昨年末に改ざんされ、閲覧したユーザーがGumblarウイルス（通称GENOウイルス）亜種に感染した恐れがあると発表した。

　改ざんされていたのは、12月28日午前11時21分〜30日午前0時20分までで、期間中のアクセス数は450。29日午後5時にサイト運営委託会社から改ざんの通知を受け、30日に修正、改ざんの告知とウイルス感染の確認法を掲載した。

ローソンの採用サイト改ざん 閲覧者にGumblarウイルス感染の恐れ - ITmedia NEWS

京王グループも・・・

弊社ホームページのうち一部のキャンペーンサイトにおいて、第三者の不正アクセスにより改ざんされていたことが判明いたしました。

http://www.keio.co.jp/news/update/announce/nr100106v01/index.html

セキュアブレインも無償ツールでの検査を呼び掛けています

Webサイトを改ざんするウイルス「Gumblar（ガンブラー）」が、相変わらず猛威を振るっている。通販ショップ「GENO」のサイトが改ざんされたことで一躍有名になり、通称「GENOウイルス」とも呼ばれているものだ。当初は同人関連の個人サイトなどでの被害が多かったとされているが、大手企業サイトにも感染は広がっており、昨年末にはJR東日本のサイトが改ざんされた。そして昨日6日にはローソンが改ざん被害にあったことを発表したばかりだ。

無償ツールで「Gumblarウイルス」チェックを 〜 セキュアブレインが呼びかけ | RBB TODAY

同社のSaaS型セキュリティ「gredセキュリティサービス」の無償トライアル版で可能とのこと。

無償ツールで「Gumblarウイルス」チェックを 〜 セキュアブレインが呼びかけ | RBB TODAY

亜種が多すぎて、最新パターンでも検知できないんでしょうねぇ…多分。

こんにちは、丸山満彦です。Gumblarによる被害が意外と広がっているようです。しかし、今回は現象面がよく見えたり、ニュース取り上げられたりしているので、わかりやすいのかもしれません。。。考えてみれば誰にも気付かれずに広がっている他のウイルスも多いということが想定されますよね。。。

Gumblar: まるちゃんの情報セキュリティ気まぐれ日記

さすがばけらさん、気付くところが鋭い。ページの更新を外注してるんですねぇ。

こぞって「制作会社のパソコンが感染」となっていますね。

それはともかく、この規模の企業がGumblarの被害で改竄されていること自体が興味深いです。GumblarはFTPのアカウント情報を盗んで攻撃者に送り、攻撃者はそのアカウントでFTP接続して改竄を実行します。私の知る限り、既知の亜種では盗まれるのはFTPのパスワードだけで、SSHのパスワードは盗まれないはずです。

Gumblarによる改竄発生中 | 水無月ばけらのえび日記

ダイヤモンドギルというサイトも。。。

既に改ざんされたページを見て感染してFTPパスワードが盗まれるみたいです。

Webサイトが改ざんされてから、閲覧ユーザが感染に至るまでは、以下のような流れであると考えられます。
1.改ざんされたWebサイトへのアクセス／不正なWebサイトへのリダイレクト
2.FTPアカウント情報の収集
3.収集したFTPアカウント情報を元に攻撃者がWebサイトを改ざん

国内のWebサイトの改ざんが拡大中 | トレンドマイクロ セキュリティブログ

AdobeReaderの脆弱性が利用されているそうです。

ユーザが改ざんされたWebサイトを閲覧すると、表面上では正規サイトが表示されますが、裏では埋め込まれたJavaScriptにより、不正なWebサイトへのリダイレクトが行われており、リダイレクト先からは不正プログラムがダウンロード・実行されます。ダウンロード・実行される不正プログラムはAdobe ReaderおよびAdobe Flash Playerの脆弱性などを利用して、ユーザのPCへさらに不正プログラムを作成します。

国内のWebサイトの改ざんが拡大中 | トレンドマイクロ セキュリティブログ

急激に増加傾向とのこと。この数日だけでもかなりだろうな・・・

セキュリティ組織のJPCERTコーディネーションセンター（JPCERT/CC）は2010年1月7日、Webサイトが改ざんされて埋め込まれる「ガンブラー」ウイルスの被害が続出しているとして、改めて注意を呼びかけた。JPCERT/CCに寄せられたWebサイト改ざん被害の届け出数は2009年第4四半期（2009年10月から12月）に急増。同期間の届け出数は372件に達したという

「ガンブラー」が国内で猛威、Web改ざんは3カ月で372件に | 日経 xTECH（クロステック）

FlashやJREの脆弱性も悪用しているようです。

Webウイルスが誘導するサイトのWebページには、Windowsや「FLASH PLAYER」「ADOBE READER」「Java Runtime Environment（JRE）」などの脆弱（ぜいじゃく）性を悪用して、ウイルスを感染させる仕掛けが施されている。このため、Webウイルスが埋め込まれたWebページにアクセスすると、別のサイトに置かれた「一般的なウイルス」がダウンロードされて、結果的にパソコンを乗っ取られるなどの被害に遭う。

「ガンブラー」が国内で猛威、Web改ざんは3カ月で372件に | 日経 xTECH（クロステック）

なおかつ、AdobeReaderの未知の脆弱性も悪用しているとのことです。Zero-Day攻撃ですか・・・

Yahoo!Japanのヤフー！占いにもGENOウイルス感染があったとのこと。

ヤフー日本法人は９日、一部のウェブサイトが不正に改ざんされ、閲覧した人のコンピューターが新型ウイルス「ガンブラー」に感染したおそれがあると発表した。
問題のページは「ヤフー！占い」にある「鏡リュウジの星に願いを」の一部のページで、昨年１０月２７日から今月８日までに閲覧した３４８１人に感染の可能性があるという。このページはすでに修正されており、現在はアクセスしても問題ないという。

http://www.asahi.com/national/update/0109/TKY201001090269.html

三井住友VISAカードまで・・・

「ＶＩＳＡギフトカードご利用可能店はこちら」というサイトで、対象期間は６日午後２時半から７日午前１１時１３分。閲覧者が感染すると、入力情報が流出している可能性がある。

http://www.asahi.com/national/update/0113/TKY201001130361.html

とりあえず、ForiGateから守り方が出ています。

企業はどのようにネットワークを守ればよいのでしょうか？
　企業は下記のような全般的なパスワード窃盗防止手順を実施することで、ネットワークが保護できます。

1. パスワードをプレーンテキストで保存してはいけません。
2. FTPなどプレーンテキストを使用する通信プロトコルの使用を避けましょう。かわりにFTPS、FTPESまたはSFTPを使用してください。
3. 更新済みのアンチウイルス・プログラムを使用しましょう。
4. すべてのソフトウェア、とりわけブラウザとプラグインに最新のパッチを適用しましょう。
5. 作業終了後は必ずサーバからログアウト。ログオン中はサーバから物理的に離れてはいけません。
6. ネットワークにはゲートウェイセキュリティが施されていることを確認してください。
7. 信頼できないWebサイトまたは人員にはパスワードを渡さないでください。

フォーティネットの顧客は、相次ぐガンブラー攻撃からネットワークをどのように守っているのでしょうか？

1. 疑わしいファイルまたはWebサイトは分析のためFortiGuard Centerに通知します。
2. 当社はGumblar関連の既知の感染をキャッチするため、ウイルスおよびIPS検知シグネチャを開発しましたので、常にアップデートを行ってください。また当社はC&C(command-and-control )通信をブロックするために専用のIPSシグネチャを開発し配信しています。
3. ネットワークセキュリティ用のFortiGateアプライアンスと、デスクトップクライアントおよびサーバ用のFortiClientソフトウェアを確実に導入してください。
4. この攻撃はブラウザおよびプラグインの既知の脆弱性を悪用するため、インストール済のソフトウェアすべてに最新のアップデートでパッチを当ててください。
5. 最後になりましたが、大事なこととして、感染の疑いがある場合はただちにすべてのパスワードを変更して、あらゆるパッチを適用してください。

404 ページが見当たりません - フォーティネット

ガンブラー対策で店頭無償診断サービスをPCデポが始めるらしい。

パソコン専門店「ＰＣデポ」を運営するピーシーデポコーポレーションは16日、コンピューターウイルス「ガンブラー」に、個人のパソコンが感染していないかの無料診断サービスを全64店で始める。ガンブラーによる企業のウェブサイトの改ざん被害が続いている。点検で感染していた場合は除去サービスを受け付け、対策ソフトの販売にもつなげる。

経済、株価、ビジネス、政治のニュース:日経電子版

Yahoo!ジオシティーズのユーザもGENOウイルスの餌食に・・・こいつは結構厄介だ・・FTPのユーザ・パスワードってIPで制限できないしね。

ヤフーは13日、ホームページサービス「Yahoo!ジオシティーズ」の利用ユーザーに対して、FTPのユーザーIDとパスワードを抜き出してホームページを改ざんするウイルス（Gumblarなど）について、いくつかの事例が報告されたとして、注意喚起と対策方法を告知した。

Yahoo!ジオシティーズでもホームページ改ざん事例 -INTERNET Watch Watch

NTTデータも先端技術株式会社のサイトも・・・

ＮＴＴデータ先端技術株式会社がインターネット上で公開しております「VOISTAGE-ONLINE」のサイトにおいて、Webサイト攻撃（Gumblar（ガンブラー）型攻撃）によりWebページが改ざんされていたことが判明いたしました。なお、当該サイトは、セキュリティ対策を既に施し、本発表時点では公開を再開済です。

http://www.intellilink.co.jp/all/topics/2010/01/19/voistage.html

本気で飽きた・・・まだかかるか・・・

ハウス食品は７日、同社の採用ホームページが、「Ｇｕｍｂｌａｒ（ガンブラー）」と呼ばれる新型のコンピューターウイルスに感染し、改ざんされていたと発表した。

http://sankei.jp.msn.com/economy/business/100107/biz1001071658025-n1.htm

関連URL

• 急増するサイト改ざんとGumblar感染、対策の速やかな実施を - ITmedia エンタープライズ
• NIKKEI NET（日経ネット）：主要ニュース−各分野の重要ニュースを掲載
• 「Yahoo!占い」内の一部ページにGumblar、2009年10月末から -INTERNET Watch
• エフセキュアブログ : 間違いだらけのGumblar対策
• 「Gumblar」改ざんサイト、2009年10〜12月で1427件確認 -INTERNET Watch
• 気づかぬうちにGumblar被害、「Yahoo!占い」でも改ざんが発覚 | ネット | マイコミジャーナル
• フォーティネット、Gumblarウイルスについての調査結果と7つの対策手順を公開:ニュース - CNET Japan