フォティーンフォティ技術研究所(FFR)が中心となって、ウェブ感染型のマルウェア対策を共同で行うコミュニティが結成された。各社がそれぞれの得意分野を持ち寄り、Gumblarのようなウェブ感染型マルウェアへの対策を強化していく。
Gumblarは、ウェブサイトを管理するFTPアカウントのパスワードを盗み、そのサイトの一部を改ざんする。ウェブサイトを閲覧したユーザーは、マルウェアをダウンロードしてしまう。「近年まれに見る成功したマルウェアの攻撃モデル」(FFR代表取締役社長 鵜飼裕司氏)であり、著名サイトも多く被害に遭っている。
Gumblarの特徴。感染したサイトを閲覧することで管理者のPCに感染が広がり、FTPパスワードが盗まれ、管理しているウェブサーバにさらにマルウェアが仕込まれる(クリックで拡大画像を表示)
従来のウェブ感染型マルウェアは、脆弱性をつくなどの攻撃手法でサーバへの侵入を狙っていたが、大手サイトになればなるほどセキュリティが強固なため、著名でないサイトばかりが感染していた。それに対してGumblarは、管理者のPCの脆弱性をついてFTPアカウントのパスワードを奪取し、いわば「盗んだ鍵で堂々と入る」(インフォセック 有松龍彦氏)手法。大企業のサイトも多数被害に遭った。いつも閲覧しているサイトが感染源となるため、ユーザー側も対策が難しく、現在も被害は拡大を続けている。
従来のウェブ感染型マルウェアとGumblarとの違い(クリックで拡大画像を表示)
今回設立された「Web感染型マルウェア対策コミュニティ」は、Gumblarの被害を契機にFFRが中心となって国内企業を集めた。
