調査会員と賛助会員で構成するコミュニティ
各社が情報を共有し、マルウェアの解析や攻撃手法の検証、防御手法の研究などの調査研究に加えて、成果を各社で共有するとともに、啓発活動にも活用していく計画だ。
インターネットイニシアティブ(IIJ)、インフォセック、NRIセキュアテクノロジーズ、グローバルセキュリティエキスパート、サイバーディフェンス研究所、フォティーンフォティ技術研究所が調査会員として、NTTデータ、NTTデータ・セキュリティ、NECビッグローブ、九電ビジネスソリューションズ、システムプラザ、ニコン、ニフティ、ミクシィが賛助会員として参加。調査会員は実際に調査研究などを行い、賛助会員は、調査会員の情報をもとに顧客やインターネット全体に対する情報提供などを行う。また、JPCERT/CCの協力も取り付けている。コミュニティへの参加は無料で、今後も広く参加企業を求めていく。
鵜飼氏は、現在のGumblar攻撃はFTPアカウントを盗んでいるだけだが、「攻撃者のさじ加減で何でもできる」と指摘。今後、メールやオンラインバンキングのパスワード奪取、DoS攻撃、システムの破壊など、「いつ脅威が変化するか分からない」と危険性を訴える。
Gumblarは2009年5月ごろに登場して以来、「.cn」ドメインを使った亜種やGumblar.X、「.ru」ドメインを使った亜種といった変遷を経て、さらに.ruドメインの亜種でも、内部のスクリプトが数日単位で変化しており、スクリプトの難読化とあわせて従来のパターンファイルベースのウイルス対策では検知が難しくなっている。ウイルスを配布するサーバへのアクセスも、同じIPアドレスからの連続アクセスを拒否したり、感染が分かりにくいように攻撃を限定するなど、防御を難しくする仕組みが盛り込まれている。
昨年末には、多数のWindows XP搭載マシンが起動できなくなるという問題が発生し、PCメーカーなどが対応に追われたが、これはこっそり感染していたGumblarの仕業。本来は隠れているはずの感染が広く知られるきっかけとなったが、感染が多数にわたっていることを示す事例だ。
防御が困難であり、「1社ではなかなか対策できない」(鵜飼氏)のが現状で、今回、各社の情報を共有して国内の対策をより強化するのが狙い。鵜飼氏によれば、海外ではセキュリティ業界では担当者レベルでの交流は盛んだが、国内では多くはなく、各社ばらばらに持っていた情報を円滑に流通させることで、全体でのセキュリティの底上げを図りたい考えだ。