ガンブラーに立ち向かえ！国内有力IT企業が対策コミュニティを設立、はたして沈静化はいつになるのか？

被害が拡大している「Gumblar（ガンブラー）」などのWebサイト感染型マルウェアに対抗するための任意団体として「Web感染型マルウェア対策コミュニティ」が発足しました。

セキュリティ技術の研究・開発企業やセキュリティソリューション企業、システムインテグレーション企業、ISPなどが参加し、各社が技術情報などを持ち寄って攻撃手法の解析や対策方法の検討などを行い、その成果を参加企業などを通じてインターネットユーザーに広く伝えていくことを目的としています。

2010年3月2日現在の参加企業は、調査会員がインターネットイニシアティブ（IIJ）、インフォセック、NRIセキュアテクノロジーズ、グローバルセキュリティエキスパート、サイバーディフェンス研究所、フォティーンフォティ技術研究所。賛助会員が、NTTデータ、NTT データ・セキュリティ、NECビッグローブ、九電ビジネスソリューションズ、システムプラザ、ニコン、ニフティ、ミクシィなど。
このほか、国内のセキュリティの大御所であるJPCERT/CC も協力しています。

正規のWebサイトを改ざんしてマルウェアを仕込み、閲覧者に感染を広げる最近の“Gumblar型”攻撃では、改ざんされたWebサーバーやサイト閲覧者だけでなく、そのサイトをFTPで更新していたコンテンツ制作者、実際にマルウェア本体がホスティングされている別サーバー、さらに感染したPCから窃取したFTPアカウント情報の送信先サーバーなど、対策を施すべき範囲が多岐にわたるものです。

しかし、大手サイトを運営する企業など、一般にはこうした攻撃に関する的確な情報が行き届いていないのが実情で、一度感染して復旧したサイトが、コンテンツ制作者の更新権限への対応をとらないままサイトを再開したことにより、再度同じの改ざんを受ける事例も発生しています。

【参考リンク】
ガンブラーの悪夢再び！再開したJR東日本のHPが再度改ざん、検索機能の利用を停止に[2010.02.23]

フォティーンフォティ技術研究所の鵜飼裕司氏　コミュニティの運営委員長を務めるフォティーンフォティ技術研究所の鵜飼裕司氏は、Gumblar型攻撃について「近年まれに見る成功した攻撃モデル」と表現するとともに、現時点ではまだFTPアカウント情報を窃取するにとどまっているが、キーロガーを仕込んでメールやデータベース、インターネットバンキングなどのアカウント情報を窃取するかたちに変化する可能性もあり、「攻撃者のさじ加減で何でもできてしまうことの重大性に世の中が気付いていない」と指摘しています。
セキュリティ企業が個々に取り組むことには限界があるとして、こうした危機的状況に対して、セキュリティ業界としてユーザーを保護するための共同の取り組みを展開することの必要性を訴えました。

具体的な活動内容としては、こうした改ざんサイトによる被害対策の啓発のための情報公開や講演、緊急事案や統計情報の共有、マルウェアの解析、攻撃手法の検証、防御手段の研究などを挙げています。
その中でも、まずは会員間のメーリングリストや会合を通じて情報共有し、賛助会員の顧客企業やJPCERT/CCへ提供し、さらに、コミュニティの公式サイトの開設も検討されています。

事務局はフォティーンフォティ技術研究所に設置されます。

なお、現在もWeb感染型マルウェアの調査・研究・対策などに関連する事業を手がける国内企業からの参加を受け付ています（会費無料）。