FTP情報を盗み取る恐怖のガンブラー（Gumblar）

1年以上前の記事です。内容が古い可能性があります。

かつてトピックでJR東日本のウェブサイト改ざんをネタにしましたが、実はこれはあるウイルスの仕業のようで、それが思いのほか広まっています。
なんと、かのアメブロにおいてもブログパーツ「ノートン警察」が同じウイルスをばらまいていたのではないかという笑い話のような話もあったりして。
□ブログパーツ「ノートン警察」を使われていた方へ｜Ca et la

当社におきましても一部ネットリテラシーの高い方たちから指摘を受ける始末。
ついには昨日、J-WAVE「JAM The World」の「CUTTING EDGE」というコーナーで話題にしていたので、これはネタにしない手はないとEvernoteを使ってボイスメモ。
さっそくブログを書いているわけです。

Gdataインターネットセキュリティ2010 1年版3台用
販売元：ジャングル
発売日：2009-09-17
おすすめ度：
レビューを見る

転送と書きましたが「ガンブラー（Gumblar）」は以下のような経路を通り抜けて増殖を続けているようです。

1. 改ざんされたサイトにアクセス
2. 別サイトへリダイレクト（転送）（表向きには分からない）
3. 勝手にトロイの木馬をダウンロード
4. トロイの木馬がFTP情報を盗む
5. ハッカーもしくはトロイの木馬自身がそのFTP情報を元にWebサイトを改ざん

ウイルス検知ソフトが入っていれば、「3.」 で検知してくれる可能性が高いです。
でも、入っていないと。。

また、大手サイトだけでも以下のように多くのサイトが被害にあっていることから、ハッカーが介在しているとすればかなりの数のFTP情報を手に入れているでしょう。
□コンピューターウイルス：ハウス食品も「ガンブラー」被害 – 毎日ｊｐ(毎日新聞)
□京王電鉄ＨＰも改ざん…「ガンブラー」ウイルス : ニュース・新製品 : セキュリティー : ネット＆デジタル : YOMIURI ONLINE（読売新聞）

ＪＲ東日本やホンダなど４社のサイトが改ざんされ、新型コンピューターウイルス「ガンブラー」が埋め込まれていた問題で、新たに「京王電鉄」（東京都多摩市）、「ローソン」（品川区）などの４サイトでも、ガンブラーの感染が確認されたことが６日わかった。

□「ガンブラー・ウイルス」ＪＲ東日本、ホンダ、信越放送、ラジオ関西、モロゾフなどのHPに、次々と感染拡大・・・。Ｅ－ＮＥＷＳ

このウイルスは、結局FTP情報が盗まれなければ増殖しないので、FTP情報を管理しているWeb制作者サイドに大きな問題があるでしょう。
いかに脆弱な環境で制作しているか？　場合によってはウイルス対策ソフトが入っていないんじゃないか？
もしかすると、「Mac OS X」が媒介しているのかもしれないですね。ウイルス対策ソフトが最近までありませんでしたから。
いずれにしても、我々Web制作者もセキュリティに関してもっと慎重にならなければなりません。

一般の方においても上記の通り大手サイトでも改ざんされてしまう可能性があるので「怪しいサイトを見なければ大丈夫」というわけではないことを心に留めて置く必要があります。

対策としてはウイルス対策ソフトの導入と、日々の更新を忘れないこと。
とはいえ、「ガンブラー（Gumblar）」側も日々亜種が発生してくるのでそれでも完全とはいい切れない。
それこそ、毎日帰る前にウイルス対策ソフトで全スキャンをするくらいやらないとダメでしょうねぇ。
個人的には一ヶ月に一回程度でいいかなぁと思ってますが。

最後に「ガンブラー（Gumblar）」に関する良記事を紹介。
詳しい仕組みなども解説されています。
□Webからの脅威「Gumblar」（ガンブラー） – 検証ラボ：ウイルスを観察してみる：ITpro

当サイトオススメのウイルス対策ソフトはこちらから
□おすすめセキュリティソフトは?
□イーセットスマートセキュリティv4に変えてみた
□「Microsoft Security Essentials」を入れてみた
□売上と検知率は反比例？（最近のウイルス対策ソフト状況）