この脅威は、どのようにしてコンピュータに侵入しますか?

「ガンブラー」関連攻撃は、ユーザが不正コードにより改ざんされた正規Webサイトにアクセスすることにより、始まることとなります。ユーザは、改ざんされたWebサイトから、さらに不正コードが組み込まれた不正サイトにリダイレクトされることとなります。今回確認されたガンブラー攻撃では、このリダイレクト先のURLを元に、「Gumblar.8080」と名付けられました。

この脅威は、どのような影響をユーザに与えますか?

ガンブラー攻撃で利用されるスクリプトは、情報収集するコードが含まれており、感染コンピュータのFTP情報の監視および収集をします。このため、感染ユーザは直接被害を被ることとなります。また、ダウンロードされた不正ファイルは、システム情報を収集し、不正リモートサイトに収集した情報を送信する機能を備えており、また、感染コンピュータがどの脆弱性を抱えているか確認します。さらに、最終的に他の不正プログラムをダウンロードする機能を備えているものもあります。

この脅威は、どのようにして検出されたり削除されたりするのを避けていますか?

ガンブラー攻撃で、注目すべき点は、ファイルを難読化して自身の不正活動を隠蔽することです。これにより、ウイルス解析者などによるコード解析が困難になります。また、セキュリティソフトからの検出をも避けることが可能となるのです。

また、難読化により、異なるコードでも同じ不正活動を実行することが可能となり、不正なJavaScriptは、「ポリモーフィック」方式のコードを作成するように変更されているため、検出が困難となります。このようなガンブラー攻撃で利用されるコード技術は、難読化とポリモーフィック方式コード作成を同時にする能力を備えており、この結果、ガンブラー攻撃による感染を防ぐことが難しくなっているのです。

サイバー犯罪者がこの攻撃を仕掛けた動機はなんですか?

サイバー犯罪者は、収集したFTP情報を用いてFTPサーバにアクセスすることが可能となります。収集したFTP情報が管理者権限の場合、サイバー犯罪者は、FTP内にあるファイルに感染します。その際、不正コードを用いて、不正なファイルのダウンロードやファイルへの不正コード挿入、そして、サーバに改変したこれらのファイルを再度アップロードします。こうして、サーバがホストとなり、ファイルはガンブラー攻撃による感染の脅威にさらされることとなります。

コンピュータを攻撃から守るにはどうすればいいのですか?

ガンブラー攻撃は、常に進化しており、削除が困難になっています。ガンブラー攻撃から保護されるためには、コンピュータに最新の修正ファイルをインストールすることをお勧めします。これにより、脆弱性を利用するガンブラー攻撃から保護されます。セキュリティソフトをインストールするのと同様に頻繁に更新ファイルを適用することで被害を最小限に抑えることができます。

トレンドマイクロ製品をご利用のユーザは、トレンドマイクロのクラウド型セキュリティ基盤「Trend Micro Smart Protection Network」により、ガンブラーの感染から保護されます。ガンブラー攻撃に関連するドメインは、「Webレピュテーション」技術により、ブロックされます。「ファイルレピュテーション」技術により、ガンブラー攻撃によって感染したファイルは削除されます。