Pages

Jan 22, 2010

あなたのGumblar、わたしのGumblar


「Gumblarとよばれるもの」が世間の注目を集めています。自責の念にかられつつも書くのですが、Gumblar(ガンブラー)が危ないと注意を促している各社がそれぞれ異なったGumblarの定義をしていて、何が危ないのか、何をすればよいのかが、非常にわかりにくくなってます。


以下に代表的な定義を簡単にまとめてみました。



Gumblarって何なのよ?


マルウェアの種類である派



  • クライアントPCに感染してFTPパスワードを盗むマルウェアだよ派(LAC派)

  • Webサイトにスクリプト埋め込む改ざんツールだよ派

  • 黒い画面が出てきたり、セキュリティツールっていうソフトが勝手にインストールされるクライアントPCに感染型マルウェアだよ派


Webに埋め込まれる何か派



  • Webページの<head>と<body>の間に自動挿入される難読化されたスクリプトだよ派

  • 改ざんされたWebページに挿入される/*GNU GPL*/で始まるような文字列のことだよ派

  • Webで公開されていて、Adobe製品などの脆弱性をついて感染するマルウェアのことだよ派(カスペルスキー派)


攻撃手法全体の呼称だよ派



  • 盗まれたFTPアカウントなどを使ってWebが改ざんされる攻撃の総称だよ派(シマンテック派)

  • SQLインジェクションでWebを改ざんすることもあるよ派(トレンドマイクロ派)

  • 大きな特徴をもとに 1)Gumblar 2)Gumblar.X 3)8080 or CODE1にわかれるよ。これらの総称がGumblarだよ派(支持者複数)

  • 改ざんの手口に関係無く、サイトを見たユーザがGumblar.cnに飛ばされる攻撃の総称だよ派

  • ユーザがGumblar.cnに飛ばされる攻撃の総称だよ、だからサイトがhoge.ru:8080に変わったら8080って呼ぶよ派


よくわからない派



  • GumblerとはつまりGenoウイルス(もしくはJSRedir-R)だよ派。

  • GenoウイルスとはつまりGumblarのことだよ派(永久ループ系)


あきらめ派


  • Webが改ざんされてて、周りがGumblarで騒いでる時期だからうちもGumblarってことにするよ派

  • 攻撃の定義があいまいだから「いわゆるGumblar」とか突き放して書いてみるよ派(JPCERT/CC派)

  • 攻撃手法や名前にこだわるのは無意味だよ派

  • 悟ったよ。しかめっ面でセキュリティの話をするのはセキュ会社に任せるよ派(underforge of lack派)


勘違い派


  • 中国にあるオンラインギャンブルサイトの名前だよ。アクセスするとウイルスに感染するよ派

  • Googleが中国からハックされた攻撃がGumblarだよ派



まだ色々なものを落としている気はしますが、皆さんはどれをGumblarとよんでいるんでしょうか。僕自身は昨年から「クライアントPCに感染してFTPパスワードを盗むマルウェアだよ派」だったのですが。。。


なんにせよ定義を統一して、わかりやすく伝えることができるようにしたいものです。