質問

2010年01月20日 13時29分
  • Gumblar(ガンブラー)ウイルス対策ってどうされてますか?

情シスのオープンナレッジ『Syszo』サービス終了のお知らせ

質問

Gumblarウィルスによって大手のWebサイトが改ざんされたりと、
多くの被害を出しているので、社内でも対策を実施することになりました。

社内のクライアントPC側には、以下のソフトウェアを最新版へバージョンアップするように周知しました。

・Windows
・FlashPlayer
・Adobe Reader
・Java

サーバ側でWebサイトの改ざんチェックは、全部するのは大変なので、
不正なscriptタグもしくは.jsファイルがないかだけチェックしました。

皆様がどのようにやられたのか、教えていただければ幸いです。

5件の回答があります

回答

私も同じことが知りたかったです。

社員には、

(1) 「Windows Update」(Microsoft Update)の”自動更新”を有効にする
(2) PDF閲覧ソフト「Adobe Reader」を最新版に更新する
(3) PDF閲覧ソフト「Adobe Reader」の設定でJavaScript機能を無効にする
(4) インターネット閲覧ソフト用アドオン「Adobe Flash Player」を最新版に更新する
(5) 「Java」を最新版に更新する (不要なら削除)
(6) 「Apple QuickTime」を最新版に更新する (不要なら削除)

管理側としては、
(1)wwwフォルダのバックアップ
   書き換えられたときのために
(2)サイトソースの定期チェック
   現在は無料試用期間を利用してチェックしてもらっています
(3)制限端末以外からのFTPアクセス制限
IPアドレスによる制限
(4)rootおよびFTP可能アカウントのパスワード変更
(5)セキュリティ・アップデート

特に管理者側の(2)が無料期間後、どうするか
困っています。

回答

たっぺさん あさひやまさん 初めまして。

"Gumblar"の件は、私のクライアントからも、
同じような問い合わせが増えてきてます。

大手のセキュリティベンダーや各種ニュースサイト等の
情報を総合すると、

"Gumblar" が webサイトを、改ざんするプロセスは、
「感染するとユーザーが使用しているFTPサーバーの
 IDやパスワードを盗み、そのユーザーのWebページ
 に悪意のスクリプトを埋め込むという活動を行う。」
(ImpressWatchより引用)

という風に、書かれています。

FTPセッション自体を盗み見るワームのようです。

と、いうことであれば、

あさひやまさんが書かれる対策はもちろんのこと、さらに、

・自社内だけではなく、
 webサイトに携わる協力会社様においても、
 自社同様の処置
(WindowsUPDATEの徹底、各種Playerのアップデートの徹底)を
 行われることを強くおすすめいたします。

あとは、

・ホームページを書換する時以外は、FTPデーモン(サービス)
 自体を停止しておく。

というのも一手と思われます。

今回のワームは、自社のセキュリティ脆弱性を改善するとともに、
自社に近い協力会社と一緒になって対応されることで、改ざんを
防ぐことにつながると思います。

2010年01月21日 16時48分

回答

>・ホームページを書換する時以外は、FTPデーモン(サービス)
> 自体を停止しておく。

これいいですね!

回答

こんにちは。
わたしのところでは
・Windows   WSUSにより自動
・FlashPlayer  ユーザ任せ
・Adobe Reader  ユーザ任せ
・Java  ユーザ任せ
ユーザに周知しようとも思っているのですが、周知しても
ユーザ側でちゃんとアップデートしてくれるのか?、
新たな問い合わせ(Javaって何?とか)に対応しなきゃいけなくなる?
とか考えると
周知するのもゆううつです。

ADとかから一括でサイレントインストールとかできるんでしょうかね

2010年01月22日 22時05分

回答

iMac さんのコメントをコピーしました。

勤務先では、基本的に下記のような対応をしています。

・Windows 告知+WSUS
・Flash Player 告知+間隔を短くした自動更新設定(一部のPC)
・Adobe Reader 告知+自動更新設定
・Java   自動更新設定

普段から、危険なセキュリティホールなどが見つかるたびに告知しているので、ユーザー側からの問い合わせはそれほど多くありません。
ユーザー側で、どこまで実行されているかは不明ですが、情報システム部門として、最低限の作業(アリバイ作り?)はしています。

ADとかから一括でサイレントインストールとかできるんでしょうかね

参考URLの記事を読んでみてください。Flash Player / Adobe Reader は可能なようです。勤務先では、ここまでは作業していません。

2010年01月23日 02時32分

あなたもコメントしましょう!