そろそろガンブラーについて一言言っておくか

http://www.asahi.com/national/update/0109/TKY201001090269.html
未だに朝日とか見ると「ガンブラーウイルス」という呼称が蔓延している。
正確には「ガンブラー」という手法で「各種ウイルスが仕込まれる」になる。
よくわからない人はピッキングみたいなものと思ってもらえば良い(家に怪しい人が侵入されたら何されるかわからないですよね)


http://itpro.nikkeibp.co.jp/article/NEWS/20100113/343113/

シマンテックによれば、一般的にガンブラーと呼ばれているのは、別サイトに誘導してウイルスに感染させる攻撃手法のこと。同社では「ドライブバイダウンロード」と呼んでいて(図)、感染させられるウイルスの名称ではないという。同社では、最近の報道では「ガンブラー」を、ウイルスやマルウエアの一種と混同しているケースが見られるとして、誤解しないよう呼びかけている。

今回のガンブラーでは、誘導先のサイトが毎回同じとは限らない。ダウンロードされるウイルスも多種に及ぶ。このことが、2009年5月のガンブラーと比べて対策を難しくしているという。例えば、「Trojan.Bredolab」や「Trojan.Zbot」といったウイルス、「PrivacyCenter」や「Trojan.FakeAV」といった偽ソフト(詐欺的なソフトウエア)がダウンロードされるとしている。



じゃあこの攻撃手法ってなんだよ、となるので具体例を言えば私のこのページの右側にあるBlogPetがいい例になる。
念のために書いておくがBlogPet自体はウイルスでもなんでもないので警戒しないで頂きたい。
またガンブラーという名称自体誤解が多いので敢えて以下では「ドライブバイダウンロード」(以下DbD)とこの方法を記載する。


このページ全体は「はてな」のサーバである。(d.hatena.ne.jp)ブラウザの上のアドレスバーもそうなっているはずだ。が、BlogPet自体は media.blogpet.net のサーバである。
よくあるフィッシング手法だと d.hatena.ne.jp に接続すると見せかけて、 d.hatana.ne.jp に接続させるという方法になるが
DbDの場合は正真正銘 d.hatena.ne.jp に接続するんである。
そのため「サーバ証明書」を使用した偽サーバへの接続回避する技術は無効になる。


BlogPetを表示するためには Flash Player が必要になる。大半の人はすでにインストール済であるため「プラグインの追加」などと出ることはないと思うが、 Flash Player をインストールしていない人はインストールを促す表示がされるはずだ。
で、その Flash Player のように「このコンテンツを見るためには追加のインストールが必要ですよ」というように見せかけて
ウイルスをインストールさせるのがDbDのやり方らしい。


無論上記のとおりそのままのやり方であればインストールしないだけでいいわけだけど
あっちこっちで被害が出てるってことは何かしら勝手にインストールしちゃうような仕掛けがあったりとか
そもそもクラッカーが管理してないサイトに仕込んでいるので、その辺りはゴニョゴニョな手が必要になる。
ちなみにゴニョゴニョな手は私わかってませんのであしからず。わかったところで書いたら色々問題なので書かないけど:P


んで、自衛策は「ウイルスのパターンファイルやセキュリティパッチを最新にする」しかない。
が、DbDを使ってパターンファイルにかからないウイルスを使われた場合はお手上げである。そういう意味では決定的な対応策ではない。
上記ピッキングの例で言えば、「ピッキングされて家に入られても金銭被害はないように貴重品は金庫に入れましょう」という感じ。
いやいや、ピッキング対策済シリンダー錠に変えましょうよが正攻法な対策だ。


じゃあ上記のシリンダー錠交換に当たる方法はと言えば、DbDがされたサイトの運営者に通報するしかない。
そういう意味では有効的な未然の対策はサイト運営者任せになってしまうのである。(自衛でできることはパッチの最新化まで)
ただここまで広くニュースで知れ渡れば対策は取られていくと思うので、変にビクビクしなくても楽観的に見て良いと思われる。


一応DbD自体は2007年から指摘されていた話なので、知名度の問題こそあれ目新しい手法ではないことは付け足しておく。
http://japan.cnet.com/news/sec/story/0,2000056024,20348876,00.htm


(*'▽')まあ、こんな手法あるって知ったの今回の件があったからなんだけどね!


とりあえず一般人はともかく、ニュース記事書いてる人くらいは「ガンブラーウイルス」なんて無いよくらいは認識して欲しいなあ。