メッセージラボジャパンは2010年1月8日、2009年年末から2010年年始にかけて大発生した犯罪行為の中で特徴的に利用された、通称「ガンブラーマルウェア」の攻撃を確認したと発表した。
「ガンブラーマルウェア」(Gumblar、以下ガンブラー)は、Webサイトを通じて感染するコンピュータウイルスの一種で、悪意のあるコードの埋め込まれたWebページを閲覧した場合に感染する。
メッセージラボは、世界的に著名なマルウェアとスパムの専門家を多数擁する「MessageLabs Team Skeptic」を有していて、毎日数十億件のWebページ、電子メール、インスタント・メッセージを監視する。このチームの調査によると、1日あたりの平均値として、2009年10月にガンブラーを含むために遮断されたWebサイト数は悪意あるマルウェア掲載のために遮断されたWebサイト全体の0.87%にあたる41件だったが、2009年11月には20.71%にあたる843件に上昇したという。
ガンブラーを使用した攻撃は、2009年11月19日にピークに達し、メッセージラボが捕捉し閉鎖したマルウェアサイト全体の60.1%にあたる3985のドメインがガンブラーに感染しているとしてブロックされている。
ガンブラーに感染しているWeb サイトは、IFRAMEタグが隠されて埋め込まれている。この手法は、悪意あるスクリプトをホストする手法としてよく使われるもの。こういったサイトを訪れると、隠されたIFRAMEがユーザーの環境の脆弱性につけこみ、悪意あるスクリプトによって、パッチのあたってないPDF Viewerなどの利用者が攻撃の対象となるという。
メッセージラボジャパン
http://www.messagelabs.co.jp/