「ガンブラー」は、数多くのWebサイトとその閲覧者が被害を受けたことでよく知られるマルウェアである。国内では当初、パソコン通販サイトに始まり、アニメや漫画、ゲームに関連する同人サイトが連鎖的に攻撃を受けたことにより、被害サイトの名を付して「GENOウイルス」と呼ばれた。
だがその後、JR東日本やホンダ、ローソン、京王グループ、ハウス食品など大手企業のサイト、地方自治体や大学のホームページなど、不特定多数のWebページに感染が拡大し、その際にマルウェアのダウンロード元のURLとして「gumblar.cn」が多用されたことが判明したためにガンブラー(Gumblar)と名付けられた。国際的にはGENOではなくガンブラーの名称が一般的である。
特徴は、Webサイトの改ざんとそのホームページの閲覧者のマルウェア感染の2段階があり、被害者の拡大が顕著なことである。
1. Webサイトへの攻撃
メールやUSBメモリー、またはWebの閲覧などを通じてコンピューターに侵入し、ネットワーク内のサーバーを探し、Webサイトのコンテンツを管理しているFTP アカウント情報を盗み出し、その結果、Web サイトの改ざんを行う。
2. 閲覧者への攻撃
Webサイトには不正なJavaScriptのコードが埋め込まれている(「/*GNU GPL*/ try」または「<script>/*CODE1*/ try」などの文字列が追記される)が、表面的には特に変化がない。ところが閲覧者がいつものようにWebサイトを表示させると、その時点で不正コードが実行され、サイト上のPDFまたはSWFファイルが起動し、それらの脆弱性を利用してガンブラーをダウンロードし実行する。
感染したコンピューターは、以下のような被害を受ける可能性がある。
- 個人情報が盗み出される
- 別のマルウェアに感染させられる
- ボットネットワークに組み込まれる
なお、ガンブラーはESETでは「JS/TrojanDownloader.Agent.NRL」として検出される。
こうした攻撃への対策としては、Adobe Reader、Adobe Acrobat、Flash Player といったソフトウェアやOSを常にアップデートし、最新の状態にしておくことが何よりも大事である。
