サイトマップ
株式会社フォティーンフォティ技術研究所
  COMPANY PRODUCTS SERVICES RESEARCH RECRUIT CONTACT
製品情報

製品に関するお問い合わせ




1. Gumblarウイルスとは

 Gumblarウイルスは、Webサーバ管理者がこのウイルスに感染すると、FTPのIDとパスワードを盗まれ、Webサイトが改ざんされ、Gumblarウイルスの配布サイトとなってしまう可能性がある悪質なものです。君子危うきに近寄らず、つまり危険なサイトへの訪問を控えていても、このウイルスに感染してしまった善良なのサイトを訪問しただけで、感染が広がっているのが現状です。

 Gumblarウイルスでは、Adobe Acrobat ReaderやAdobe Flash Player、Internet Explorerの脆弱性を悪用して感染を広げていることが、ウイルスコードの解析を行った結果判明しています。ユーザーはマイクロソフト社のWindows Updateを定期的に実施する習慣がついてきていますが、サードパーティ製のアプリケーションのアップデートは未だ定着するに至っていないと判断され、このウイルス作者は、このようなユーザーの動向に付け入る攻撃手段を取っていると考えられます。

 Gumblarウイルスが利用している脆弱性は、過去に発見・修正された脆弱性のみを悪用しています。いわゆるゼロデイ攻撃(脆弱性の対処ができない状況での攻撃行為)ではないため、Windows Updateはもちろんのこと、サードパーティ製のアプリケーションについても最新バージョンにしておくことで、現状のGumblarに関しては、攻撃を防ぐことができます。

 しかしながら、次のGumblarがゼロデイ攻撃を実装していないとも限らないため、今後も注意が必要な状況であることに変わりはありません。


2. Gumblar vs FFR yarai

Gumblarウイルスの感染の流れは以下のようになっています。

  1. Webブラウザで感染サイトを閲覧すると、不正なJavaScriptが動作し脆弱性攻撃を行うPDFファイルやFlashファイルがダウンロードされる

  2. ダウンロードされたPDFファイルやFlashファイル内の不正なコードが実行され、実行形式ファイルのウイルスをダウンロードし実行する

  3. ダウンロードされた実行形式ウイルスはパソコン内への感染活動を行う

 Gumblarウイルス配布URLに対してFFR yaraiのエンジン(ZDPエンジン、スタティック分析エンジン、サンドボックスエンジン、HIPSエンジン)を搭載したOrigma+を用いてクローリングを行い、感染活動の動作を確認しました。その結果、表 1に示すような検体の入手に成功しました。


表 1 Origma+でのGumblar検体検出結果

ファイル拡張子SHA1ハッシュvirustotal.comでの
検出結果
pdf32c16640cdcd0dcf013ff98457450c6891d96056No result (未検出)
pdf503958d01038eea2b61c4f74d579489064866b82No result (未検出)
pdf5a8995ae5415be5177012f6510c157a1630561b5No result (未検出)
pdf6bf6c157eb3f9589eb85071d02891654a86cbd6019/40
pdf80754b7d61e23d590fe1c331e46faee82f2050a9No result (未検出)
pdf9dd9685f8bf4c35c2d11cf69aaa6b5bfd0d3a1a04/41
pdfa7ce11f173e50efde1a6a701c5bd06bae13a0619No result (未検出)
pdfae6c09c9758d5fee1fae83d82ddb2b859b41464cNo result (未検出)
htm058ccd30fcb077049ba269eff05bd14a079428259/40
htm2bd555fb1873f1c9244e2a8e742f36a2aedd3624No result (未検出)
htm8fdadbf0651006e1b9d7e4f54b17182d98ef5712No result (未検出)
exe2c29482fcd1a857e6b4ca98b3b1a7e9876f7455c29/40
exe43e6cd79cfc9c4da930152d59cc7d195c3e872e420/40
exe461d123a2eebbde16f64e2e4204c92e0dbaf6f5928/40
exe52c5bd0f8ee0b792bf7872625c27ada47b4a0cab32/40
exe6bbe6539df9ecfe7c0ad316470f93207bbb2636f31/40
exea26350fa2822ba5331616cc14236983e96a1287828/41
exeb68e725942c9a404d088481b2f14bc7bc504264b27/40
exed6385b0286b18b9706aae063b4165848ba44fabd34/41



 表 1は、Gumblar検体のファイル拡張子、ファイルハッシュ値、および、2009年11月7日時点におけるVirus Total (主要アンチウイルスソフトによるウイルスチェックサイト)での検出結果です。表 1が示すようにGumblar検体では、Adobe Reader の脆弱性を悪用した攻撃後にダウンロードされる実行形式ウイルスについては比較的対応できていますが、はじめにダウンロードされる Adobe Readerなどの脆弱性を攻撃するウイルスに対しての対応が遅れるケースが多いようです。

 Gumblarように、初めに脆弱性をついた攻撃を行い、その後ウイルス本体をダウンロードする攻撃形態の場合、ウイルス本体を別のウイルスに変更することが容易となります。そのため、ウイルス本体が新種のウイルスに入れ替わると、これらの従来のパターンマッチングによるアンチウイルスソフトでは検出できなくなってしまうことが考えられます。よって、Webサイトを訪問した際に悪用される、Adobe Reader などのアプリケーションの脆弱性を攻撃する際にウイルスを検出することが重要となっています。

 Origma+では、ウイルス検知機能としてFFR yaraiの検出エンジンを使用しています。そこで、FFR yaraiがインストールされているパソコンを使用して、Gumblarウイルスにより汚染されているURLへのアクセスを試みたところ、図 1に示す通りFFR yaraiのZDPエンジンにてGumblarウイルスの使用しているAcrobat Readerの脆弱性をつくPDFファイルを検出し、攻撃をブロックすることが確認できました。



図 1 Gumblar vs ZDPエンジン


 図 1では、GumblarウイルスがAdobe Acrobat Reader 8.0の脆弱性を攻撃し悪意のあるコードを実行させようとしているところを、FFR yaraiのZDPエンジンがブロックしているところです。図 1以外の攻撃手法に関しても、ZDPエンジンが脆弱性を利用してウイルスに感染させようとするコードをブロックすることを確認しています。

 また、脆弱性をついてダウンロードされた実行形式ファイルについても、図 2に示すようにFFR yaraiのスタティック分析エンジンにて検出されることを確認しています。



図 2 Gumblar vs スタティック分析エンジン


 近年のウイルスは攻撃手法が洗練され、派手なパフォーマンスを伴わないものが増えているために、攻撃の事実が判明するまでに時間を要することが増えてきています。Webのように、世界各国とつながるシステムの場合、国別の感染状況も一転してしまう危険性もはらんでいます。

 前述のように、現在はセキュリティ対策の方法が存在する脆弱性への攻撃にとどまっていますが、近い将来、未知の脆弱性を狙ったもの、もしくはベンダーが修正中の脆弱性への攻撃が登場しないともかぎりません。

 FFRは、このような事態を想定しFFR yaraiの開発を行いました。私たちは、われわれの技術が次の世代の攻撃手法を防ぐ楔となることを期待しています。  
 
株式会社フォティーンフォティ技術研究所  
プライバシーポリシー サイトのご利用条件 このページの上へ