『ガンブラー』はウイルスの名前ではない」

「『ガンブラー』はウイルスの名前ではない」――シマンテックが解
説オリジナルは2009年5月に出現、「感染するウイルスは同じとは
限らない」

　セキュリティ企業のシマンテックは2010年1月12日、国内で猛威
を振るっている「ガンブラー（Gumblar）」について解説した。

ガンブラーは一般的なウイルス（マルウエア）の名称ではなく、
ウイルスをダウンロードさせる「攻撃」のこと。パソコンに感染
するウイルスは、攻撃によって異なるという。

　2009年末から2010年の初めにかけて、Webサイトが改ざんされ
て「ウイルスのわな」を仕込まれる事件が相次いでいる。攻撃者
は、企業や組織が運営する正規のWebサイトに不正侵入し、攻撃
者が管理している悪質サイトにリダイレクト（誘導）するコード
（プログラム）を仕込む。

　ユーザーが改ざんされたサイトにアクセスすると、悪質サイト
に誘導されてウイルスがダウンロードされる。ウイルスをダウン
ロードさせるWebページには、Windowsや「FLASH PLAYER」
「ADOBE READER」「Java Runtime Environment（JRE）」
などの脆弱（ぜいじゃく）性を悪用する仕掛けが施されている。
このため、これらのソフトの古いバージョンをインストールして
いるパソコンでは、改ざんサイトにアクセスするだけでウイルス
に感染する恐れがある。

　シマンテックによれば、一般的にガンブラーと呼ばれている
のは、別サイトに誘導してウイルスに感染させる攻撃手法のこと。
同社では「ドライブバイダウンロード」と呼んでいて、感染させ
られるウイルスの名称ではないという。同社では、最近の報道で
は「ガンブラー」を、ウイルスやマルウエアの一種と混同してい
るケースが見られるとして、誤解しないよう呼びかけている。

　そもそもガンブラーとは、2009年5月に話題になった攻撃手法。
誘導先のサイトのドメイン名が「gumblar.cn」だったために、
この名前が付けられた。しかしながら、今回の攻撃では誘導先は
異なる。同社では、今回話題になっているガンブラーと、
2009年5月のオリジナルのガンブラーとは関連性が低いと見てい
る。

　今回のガンブラーでは、誘導先のサイトが毎回同じとは限ら
ない。ダウンロードされるウイルスも多種に及ぶ。このことが、
2009年5月のガンブラーと比べて対策を難しくしているという。
例えば、「Trojan.Bredolab」や「Trojan.Zbot」といった
ウイルス、「PrivacyCenter」や「Trojan.FakeAV」といった
偽ソフト（詐欺的なソフトウエア）がダウンロードされるとして
いる。

（勝村　幸博＝日経パソコン）　[2010/01/13]

上記記事は、日経BP社　IT pro　から引用。