2010/1/08 (金)更新
平素は弊社ホスティングサービスをご利用いただき誠にありがとうございます。
昨今、Web サイトの改ざん被害の原因となっております「Gumblar(ガンブラー)ウイルスに関しまして、対応策と注意喚起をご案内いたします。
お客様におかれましては、FTP を利用される PC のセキュリティ管理、ならびにサーバへのアクセス制限、パスワード管理等にご留意いただきますようお願いいたします。
Gumblar(ガンブラー、別名 GENO)ウイルスは、ウィルスの拡散用に埋め込まれたスクリプトを含む Web ページ等を閲覧することで、セキュリティ対策が不十分な PC に感染するウィルスです。Gumblar は、サーバに感染するわけではなく、クライアントとして利用している PC に感染するため、クライアント側での対策が重要となります。
注意すべき点としましては、Gumblar ウィルスに感染した場合、PC から FTP のログイン IDやパスワード等が盗難される被害が確認されています。パスワードが盗難された場合には、Web サイトのコンテンツが FTP などを通じて改ざんされ、ウィルスに拡散用に利用されるなどの影響が生じる場合があります。
Gumblar ウィルスの詳細につきましては、セキュリティベンダーの Web サイト等にてご確認ください。
クライアント PC 上に Adobe Reader, Adobe Flash, Microsoft Offie, Java などのソフトウェアがインストールされている場合、最新版の状態になっていることを確認してください。セキュリティ上の欠陥(脆弱性)が存在するソフトウェアを利用している場合、ウィルスの埋め込まれた Web ページを閲覧するだけでウィルスに感染する恐れがあります。
JPCERT/CC の情報によりますと、最新版の Adobe Reader / Adobe Acrobat には現時点で未修正の脆弱性が存在するため、JavaScript 機能を無効化する方法が紹介されております。
また、アンチウィルスソフトを導入していること、またアンチウィルスソフトのウィルス定義ファイルが最新版になっていることを確認してください。
クライアント PC が Gumblar ウィルスに感染した場合には、FTP の通信を解析し、FTP の ID とパスワードを盗難します。パスワードが盗難されてしまった場合、Web サイトのコンテンツが改ざんされる恐れがあるため、以下の対応策を行ってください。
(1.) FTP の利用を停止する
現在、Gumblar ウィルスは FTP のみのパスワード盗難を行っていると考えられるため、FTP の利用を停止し、代わりに SFTP, SCP など暗号化技術を利用したファイル転送方法を利用する(ただし、Gumblar ウィルスの新たな亜種が出現した場合には、本対策が有効ではなくなる可能性がございます)。
なお、サーバで FTP が不要な場合には、FTP の通信を全て制限する、あるいは FTP サーバを停止するなどの対応が可能ですので、ご希望の場合にはカスタマーサポートまでご連絡くだい。
(2.) 接続元制限やファイヤーウォールなどで信頼された接続元以外からの FTP のアクセスについて制限する
万が一、パスワードが盗難された場合でも、コンテンツを更新できる接続元を制限することで、Web サイトが改ざんされるリスクを軽減できます。特に、広い範囲からサーバへのアクセスを許可しているお客様におかれましては、改めて接続元制限やファイヤーウォールの制限範囲の見直しを行われることをお勧めいたします。
現時点において、Web サイトの改ざんは海外の IP アドレスから行われているケースを確認しておりますが、適切に制限を行うことでWebサイトの改ざんを阻止できます。なおウィルスの感染が疑われる場合には、万全を期すためパスワードの変更を強く推奨します。
(3.) 身に覚えの無いサーバへのアクセス、ファイルの設置・ソースコードの設置がないか確認。
サーバに ssh でログインして「last」コマンドを実行することで、当月アクセスしたユーザ名、日時、アクセス元を確認できます。
また、FTP 等で Web サイトのコンテンツを更新した覚えがないのにも関わらず、ファイルの更新日時が新しくなっている場合など、ファイルが改ざんされている恐れがありますので、ファイルの内容をご確認ください。
(4.) パスワードの定期的な変更
万が一パスワードが漏洩した場合においても、定期的にパスワードを変更することで、パスワードを悪用して Web サイトが改ざんされるリスクを軽減できます。
Gumblar に感染した場合には、FTP の ID とパスワードを盗み出すため、至急サーバ の FTP パスワードを変更を実施してください。FTP のパスワードは、以下の URL をご参照ください。
※感染したPCには、感染除去が完了する前に、変更後の新しいパスワードを設定 しないようご注意ください。
また、FTPサーバの一時停止を実施することもお勧めします。FTPサーバ停止後は、Webmin / Plesk などのコントロールパネル、もしくは、WinSCP などの SCP クライアントソフトで、ファイルの確認・削除・更新等をおこなっていただくことが可能です。
また、サーバ上のファイルをいったん削除し、コンテンツが改ざんされていないことを確認してから、ファイルをアップロードすることをお勧めいたします。
FTPサーバの停止をご希望の場合は弊社カスタマーサポートまでご依頼ください