-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA256 各位 JPCERT-AT-2010-0001 JPCERT/CC 2010-01-07(初版) 2010-01-13(更新) <<< JPCERT/CC Alert 2010-01-07 >>> Web サイト改ざん及びいわゆる Gumblar ウイルス感染拡大に関する注意喚起 Web sites compromise and Gumblar attacks growth continue https://www.jpcert.or.jp/at/2010/at100001.txt I. 概要 昨年末より、FTP アカウントの盗用に端を発して、Web サイトが改ざんされ、 意図しない JavaScript を埋め込まれる事象や、改ざんされたサイトを閲覧し たユーザの PC がマルウエア(Gumblar ウイルスなど)に感染する事象が多数 発生しています。JPCERT/CC では、昨年末より本事象に関する注意喚起を行っ ていますが、年末年始にかけて新たに多数の Web サイトが改ざんされたこと を受け、再度ユーザや Web サイト管理者に対策を周知する目的で本注意喚起 を発行いたします。 グラフ: JPCERT/CC への Web サイト改ざんの届出件数の推移 https://www.jpcert.or.jp/at/2010/report_malicious_websites.png 2009年第4四半期より届出が急増しております。 改ざんされた Web サイトを閲覧した場合、 不正なプログラムがユーザの PC にダウンロードされ、結果としてマルウエアに感染する可能性があります。 - ユーザは、今一度使用している PC の OS やソフトウエアについて、最新 の修正プログラムが適用されているか確認してください。 - Web サイト管理者は、今一度自社が管理する Web サイトが改ざんされて いないか確認してください。 II. 対策 【ユーザ向け】 JPCERT/CC では、一連の攻撃で Adobe Flash Player、Adobe Acrobat、 Adobe Reader、Java(JRE)、Microsoft 製品の脆弱性が使用されていることを 確認しています。以下を参考に、使用している製品について今一度最新の状態 に更新されていることを確認してください。 [Adobe Acrobat、Adobe Reader] メニューの"ヘルプ (H)" -> "アップデートの有無をチェック (U)" をクリッ クし、製品を最新に更新してください。更新が不可能な場合は、以下の URL から最新の Adobe Reader 及び Acrobat をインストールしてください。 Adobe.com - Downloads http://www.adobe.com/downloads/ *** 更新: 2010年01月08日追記 ************************************* Adobe Reader/ Acrobat の未修正の脆弱性が使用されていることが確認され ています。 Adobe System 社より 2010年1月13日(日本時間)に本脆弱性の修正 プログラムが公開される予定ですので、それまでの間以下の軽減策をご検討く ださい。 ・以下の通り、Javascript を無効にする 1. Acrobat / Adobe Reader を起動する 2. メニューバーから "編集" -> "環境設定" を選択する 3. 分類の中から "JavaScript" を選択する 4. "Acrobat JavaScriptを使用" のチェックを解除する 5. "OK"を押して、設定を反映する ※Adobe Acrobat と Adobe Reader の両方でこの設定を変更する必要があ ります ・Windows をお使いの場合、DEP(データ実行防止機能)を有効にする ※なお、古いパソコンを利用している場合 DEP が有効に出来ない場合が あります。 ****************************************************************** *** 更新: 2010年01月13日追記 ************************************* Adobe Systems 社より修正済みソフトウェアが公開されました。Adobe Reader 及び Acrobat では起動後、メニューの"ヘルプ (H)" -> "アップデート の有無をチェック (U)" をクリックすることで製品の更新が可能です。 更新が不可能な場合は、以下の URL から 最新の Adobe Reader 及び Acrobat をダウンロードしてください。 Adobe.com - New downloads http://www.adobe.com/support/downloads/new.jsp 詳細に関しては、Adobe Systems 社からの情報を参照してください。 ****************************************************************** [Adobe Flash Player] 以下の URL にて Flash Player のバージョンを確認してください。 Adobe Flash Player:Version Information http://www.adobe.com/jp/software/flash/about/ インストールされている Flash Player が最新でない場合は、以下の URL より最新の Flash Player をインストールしてください。 Adobe Flash Playerのインストール http://get.adobe.com/jp/flashplayer/ [Java(JRE)] 以下の URL にて Java のバージョンを確認してください。 (Java がインストールされていない環境では、Java のインストールが要求 される可能性があります。不要な場合は、インストールしないように注意し てください。) Java ソフトウェアのインストール状況の確認: http://www.java.com/ja/download/installed.jsp インストールされている Java が最新でない場合は、以下の URL より最新 の Java をインストールしてください。 全オペレーティングシステムの Java のダウンロード一覧 http://java.com/ja/download/manual.jsp?locale=ja&host=java.com ※ Java を最新に更新した場合、一部の Java 上で動作するアプリ ケーションが動作しなくなる可能性があります。利用するアプリケー ションへの影響を考慮した上で、更新を適用してください。 [Microsoft] 以下の URL にて、最新のセキュリティ更新プログラムを適用してください。 Microsoft Update https://www.update.microsoft.com/ また、サイトの改ざん内容が更新され続けていることから推測すると、攻撃 の手法が変化する可能性があります。使用するコンピュータの OS やインス トールされているソフトウエアを常に最新の状態に維持することをおすすめし ます。また、ウイルス対策ソフトの定義ファイルを最新の状態に更新し、ウイ ルス検知機能が有効になっていることを確認してください。 【Web サイト管理者向け】 Web サイト管理者は、自社の Web サイトが改ざんされ、ユーザに不正なプ ログラムをダウンロードさせてしまうような事態を招かないため、以下の確認 事項、対策を改めてご検討ください。 - Web サイトの更新ができるコンピュータを制限する。(IP アドレスなど) - Web サイトで公開しているコンテンツに不正なプログラムが含まれてい ないこと、コンテンツが改ざんされていないことを確認する。 - 多くの改ざんされたサイトでは不正な script タグが挿入されています。 HTML ファイルや外部 .js (Javascript) ファイルに「/*GNU GPL*/ try」 や 「