［世界］
マルウェア「Gumblar」のホーム・ドメインが復活

感染したWebサイトやPCで活動が再び活発化する恐れも

（2009年11月09日）

　米国ScanSafeの研究員が、多機能マルウェア「Gumblar（別名：JSRedir-R）」が再び活動を活発化させる兆候をとらえたとして、警告を発している。

ScanSafeのブログ投稿では「Gumblar.cn - It's Baaaack」と伝えられている

　Gumblarは、Webサイトのハッキングにより埋め込まれた不正なスクリプトを通じて、そのサイトにアクセスしたPCに感染を拡大するタイプのマルウェアだ。PCが感染すると、Googleの検索結果に攻撃者サイトへの誘導リンクが不正に紛れ込まされたり、FTPの認証情報が盗み出されたりするという。

　今年3月に発見された際、Gumblarは「gumblar.cn」ドメインにあるサーバからの“指令”により動作するようになっていた。このドメインは発覚した直後にオフライン（接続不能）になったが、ScanSafeのシニア・セキュリティ研究員マリー・ランデスマン（Mary Landesman）が11月5日付けのブログ投稿で明らかにしたところによると、少なくとも4日ころから復活しているという。

　Gumblarを用いる攻撃者は、ハッキングしたWebサイトの中に、ひそかにiframe要素を埋め込む。ここには別サイトからエクスプロイト（攻撃コード）群が読み込まれるようになっており、アクセスしたターゲットPCのハッキングを試みる。ターゲットPCが、Adobe Systemsの「Adobe Reader」や「Adobe Acrobat」のセキュリティ・アップデートを実施していなければ、ドライブ・バイ・ダウンロード攻撃（ユーザーに気付かれることなくWebブラウザ経由でマルウェアをダウンロードさせる攻撃手法）を実行してマシンを乗っ取る。

　攻撃に悪用されていると疑われるドメイン名は、しばしばドメイン名レジストラ（登録機関）によって利用停止状態にされることがある。一方で、マルウェアの開発者側も、マルウェアに命令を与えるために利用しているドメインがブラックリストに掲載された時点で、すぐにドメインを変更することが多い。gumblar.cnは、何らかの理由で利用停止措置が解除され、再び攻撃に使われるようになったものと思われる。

　ランデスマン氏は、いまだにGumblarに感染しているWebサイトは、復活したドメインからの指令を受けるようになっていると見ている。さらに、Gumblarに感染しているPCが、このドメインからマルウェアのアップデートを受け取る可能性もあると指摘している。

　ランデスマン氏は、「事態は錯綜している。今後も関連情報に注意してほしい」と警告している。

(Jeremy Kirk／IDG News Serviceロンドン支局)