新春早々の「Gumblar一問一答」 − @IT(情報元のブックマーク数)
もうガンブラーおなか一杯・・・って感じの川口さん。。。。
前回のコラム「実はBlasterやNetsky並み? 静かにはびこる“Gumblar”」で書いたGumblarの被害がいまも継続しています。特に年が明けてからは、大手サイトの改ざん事件が報道され、注目がさらに集まっているようです。JSOCのお客様でも感染被害やホームページ改ざん被害が継続しており、新年早々のんびりはできないようです。
新春早々の「Gumblar一問一答」:川口洋のセキュリティ・プライベート・アイズ(22) - @IT
ここ重要。
●ウイルス対策ソフトの最新パターンファイルは対応しているんですか?
新春早々の「Gumblar一問一答」:川口洋のセキュリティ・プライベート・アイズ(22) - @IT
多数の亜種があり、そのすべてに対応しているとはいえない状況です。攻撃者は作成したウイルスをVirusTotalのようなサイトでチェックし、どこのウイルス対策ソフトにも検知されないことを確認してからリリースできます。その結果、パターンファイルが対応していない時間が発生します。パターンファイルが対応したころに、また新しいウイルスをリリースすれば、攻撃者は常に検知できないウイルスを使い続けることができます。
私個人の感想では、ウイルス対策ソフトのメーカーはどこもパターンファイルの更新は頑張っていると思いますが、守る側にとってあまりに分が悪い状況であると考えています。しかも、ひとたびGumblarに感染してしまうと、ウイルス対策ソフトのアップデート通信が妨害されます。メーカーが最新のパターンファイルを作っても、ユーザーのパソコンに配信できないことが、Gumblarの発見をさらに遅らせる原因となっています。
WAFではがんばれないー。
●WAFで止めることはできますか?
新春早々の「Gumblar一問一答」:川口洋のセキュリティ・プライベート・アイズ(22) - @IT
これは「No」。Webアプリケーションを狙った攻撃ではないためです。HTTPレスポンスに不審なJavaScriptが含まれているかどうかをチェックできれば発見できるかもしれませんが、パフォーマンスとシグネチャの更新という点で大きな課題があります。