kawaguchi_iconセキュリティの専門会社である株式会社ラックの、24時間眠らないセキュリティ監視センターである「JSOC」のチーフエバンジェリスト兼セキュリティアナリストである川口 洋氏(CISSP資格保有者)が、@ITのWebサイト上でガンブラー(Gumblar)のその後を書いています。

セキュリティアナリストコラム
川口洋のセキュリティ・プライベート・アイズ(24)
Gumblar、いま注目すべきは名前ではなく“事象”


(要約して抜粋)
・FTPパスワードだけでなく、Webブラウザに保存されているパスワードも盗み出すようになった。それ以外にもPCに保存されているパスワードは何が盗み出されてもおかしくない状況である。
・サーバー上のHTMLファイルを改ざんするのではなく、「.htaccess」という名前の隠しファイルを改ざんすることで、検索エンジンからのアクセスなど一定の条件においてのみ悪性サイトへの自動誘導がされるようにする手口が登場しており、従来の方法に頼っていると見落とす危険性がある。
・サーバーが感染した場合に、ウェブ経由でサーバを操作できるようにするバックドアを設置するケースがある。この場合には、FTPパスワードを変更しても、依然として操作可能であり、二回目の改ざんを受けるケースもある。
・ガンブラーに感染したPCは「Waledac」と呼ばれるボットネットワークを形成する。指令用のサーバと通信しながら作動するが、指令用のサーバーがどんどん変更されていくので、特定が困難である。これに対抗してマイクロソフトがとった対抗策が奏功し、かなり通信量が減少した。
・ガンブラー関連の報道量は減少しているが、決して被害が収まっているわけではない。単なるガンブラー対策という枠にとどまらず、広義のウイルス対策を行う必要がある。

(私のコメント)
いやあ、読めば読むほど恐ろしい内容ですよ。今やガンブラーから始まるパターンのウイルスの世界に、攻撃者の多くのリソースが投入され、如何にして対策を潜り抜けるか、如何にしてパスワードを盗み出すかに知恵が絞られている感じです。だからこそ、ガンブラーは常に進化し、半年前のガンブラーの常識にとどまらないものになってきているということだと思います。しかし、攻撃者って誰なんだろうか? 

http://www.atmarkit.co.jp/fsecurity/column/kawaguchi/024.html



●週に一回程度、更新情報をお届けします。
こちらからメールアドレスをご登録ください。
(まぐまぐのシステムを利用しています)