前回のコラム「実はBlasterやNetsky並み？ 静かにはびこる“Gumblar”」で書いたGumblarの被害がいまも継続しています。特に年が明けてからは、大手サイトの改ざん事件が報道され、注目がさらに集まっているようです。JSOCのお客様でも感染被害やホームページ改ざん被害が継続しており、新年早々のんびりはできないようです。

新春早々の「Gumblar一問一答」：川口洋のセキュリティ・プライベート・アイズ（22） - ＠IT

●ウイルス対策ソフトの最新パターンファイルは対応しているんですか？
多数の亜種があり、そのすべてに対応しているとはいえない状況です。攻撃者は作成したウイルスをVirusTotalのようなサイトでチェックし、どこのウイルス対策ソフトにも検知されないことを確認してからリリースできます。その結果、パターンファイルが対応していない時間が発生します。パターンファイルが対応したころに、また新しいウイルスをリリースすれば、攻撃者は常に検知できないウイルスを使い続けることができます。
私個人の感想では、ウイルス対策ソフトのメーカーはどこもパターンファイルの更新は頑張っていると思いますが、守る側にとってあまりに分が悪い状況であると考えています。しかも、ひとたびGumblarに感染してしまうと、ウイルス対策ソフトのアップデート通信が妨害されます。メーカーが最新のパターンファイルを作っても、ユーザーのパソコンに配信できないことが、Gumblarの発見をさらに遅らせる原因となっています。

新春早々の「Gumblar一問一答」：川口洋のセキュリティ・プライベート・アイズ（22） - ＠IT

●WAFで止めることはできますか？
これは「No」。Webアプリケーションを狙った攻撃ではないためです。HTTPレスポンスに不審なJavaScriptが含まれているかどうかをチェックできれば発見できるかもしれませんが、パフォーマンスとシグネチャの更新という点で大きな課題があります。

新春早々の「Gumblar一問一答」：川口洋のセキュリティ・プライベート・アイズ（22） - ＠IT

われわれセキュリティエンジニアの常識からするとFTPをやめてSSHを使うとか、IPアドレスで制限をするということは当たり前と考えてしまいますが、それが実施できない環境が多数あるのも事実です。
多くのビジネスの環境で、IPアドレス制限などの対策は「できるんだったらとっくにやってる」というものの、被害にあうと実行できるのは皮肉なものです。

新春早々の「Gumblar一問一答」：川口洋のセキュリティ・プライベート・アイズ（22） - ＠IT