2009年から継続的に、Webサイトを改ざんして悪意あるサイトに誘導し、マルウェアをダウンロードさせる、いわゆる「Gumblar」攻撃が話題となっている。同社 チーフ セキュリティ エンジニア（GTS ITS ソリューションセンター セキュリティ・ソリューション マネージド セキュリティ サービス）の梨和久雄氏は、2009年10月から11月にかけて、その第2波といえる「Gumblar.X攻撃」が目立ったと述べた。
日本IBMがいうところのGumblar.Xは、基本的な手法は、2009年5月に発生したGumblar攻撃の第1波と同じだ。既存のWebサイトを改ざんして悪意あるスクリプトを仕込み、そこにアクセスしてきたクライアントを感染用サイトに誘導する。そして、脆弱性が残ったままのPCをマルウェアに感染させる「ドライブ・バイ・ダウンロード」という手法を用いている。

進化し続けるGumblar、IBMの東京SOCがレポート公開 − ＠IT

2009年5月の攻撃では、誘導先のサイトやそこでダウンロードするコードがほぼ「固定」で特定が容易だった。これに対しGumblar.Xでは、誘導先がさまざまな場所に散らばっている。その多くは攻撃を受けて改ざんされたサイトで、「踏み台から踏み台へと誘導している。このため、5月の攻撃では特定のIPアドレスをブロックするなど、対策のやりようがあったのに対し、Gumblar.Xでは誘導先が散らばっており、フィルタをかけるのが難しい」（梨和氏）。

進化し続けるGumblar、IBMの東京SOCがレポート公開 − ＠IT

もう1つ懸念すべきことがある。ドライブ・バイ・ダウンロードに悪用される改ざんされたWebサイトが、日本国内に比較的多いということだ。2009年前半に話題となった「Conficker」では、国内の改ざんされたWebサイトの割合は全世界のうち0.5％程度だった。これに対しGumblar.Xの場合、日本国内のサイトが占める割合は4％に上り、世界で4番目に多かったという。

進化し続けるGumblar、IBMの東京SOCがレポート公開 − ＠IT