ブルーコート、Gumblarの不正リダイレクトを阻止するクラウド型防御策：NEWS

無害なWebサイトから悪質なWebサイトへとリダイレクトするGumblarの初期段階での攻撃を阻止。クラウド型で提供するため、常に最新の有害スクリプトを検出できる。

≫ 2010年03月04日 09時00分公開

[上口翔子，TechTargetジャパン]

　ブルーコートシステムズは3月3日、Web上で猛威を振るうウイルス攻撃「Gumblar（ガンブラー）」への対策として、同社のクラウド型セキュリティサービス「Web Pulse」とゲートウェイ製品「ProxySG」を用いた防御策を発表した。

Gumblar対策に自信を持つという小林氏。裏付けとして、これまで同社製品を使用しているユーザーからのGumblar被害報告はないとした

　なお、今回発表された防御策は既に同社製品を使用しているユーザーであれば既にGumblarに対応しているというもので、同攻撃用に特別用意したものではない。特徴は、クラウド環境で常に最新の有害スクリプトを解析し、無害なWebサイトから悪質なWebサイトへとリダイレクトするGumblarの初期段階で攻撃を防止する点。「マルウェア感染を事前に阻止し、有名なWebサイトを閉鎖に追い込むこともない。一般的にいわれているGumblar対策と比較して早期防衛が可能で、リスクも少ない」（SEディレクター小林岳夫氏）という。

　Gumblarは、主にWebサイト（HTTP／HTTPS）を媒介してマルウェアを感染させる攻撃手口。日本では2009年から被害が相次いでおり、中には2回以上の被害報告を出している企業もあるという。普段から安心して利用している有名なWebサイトに難読のスクリプトが埋め込まれているため、ユーザーはまったく気が付かない状態で悪意のあるWebサイトへリダイレクトされてしまう。リダイレクト先のURLはソースコードを見ただけでは解読できず、対策が困難だという。

　加えて、ユーザーのPC内にあるレガシーシステム（メーカーの保証期間が過ぎた古いOSやアプリケーションなど）の脆弱性も感染の主な原因だと小林氏はいう。

Gumblarの手口。ユーザーのPCは悪質サイトにリダイレクトされた後、マルウェアに感染。感染したPCは攻撃主により通信をモニタリングされ、重要なパスワードなどが漏えいする

　小林氏によると、Gumblar対策はこれまで主に3つの手法が取られていた。1つは、シグネチャベースでのアンチウイルス製品による対策。しかしこの対策ではGumblarに対応できるパターンファイルの適応までに時間がかかってしまい、その間に攻撃を受ける恐れがある。また、ゲートウェイもしくはPC上での対策であるため、マルウェアに感染してからのチェックとなり、リスクが高い。

　2つ目は、レガシーOSなど脆弱性のあるアプリケーションをアップデートするユーザー側での対策。これは有効な対策の1つだが、1つ目の対策と同様にマルウェアに感染するGumblarの中期段階での対策となるため、万全であるとはいえない。そして3つ目が、悪質スクリプトが埋め込まれたWebサイト側での対策。Gumblar初期段階での防衛策としては有効だが、同時に、失っては困る有名なWebサイトなどを閉鎖しなくてはならないという課題がある。

Gumblarを“完全阻止”

　同社のGumblar対策は、上記いずれの課題も解決する。仕組みは、既に提供中のProxySGによる強固なフィルタリングだ。ProxySGでは、ユーザーがあるWebサイトにアクセスしようとした際に、同社のデータセンター（Web Pulse）内のデータベースにサイトのURLを照合する。Web Pulseに登録されている無害なURLであればそのままアクセスできるが、無登録もしくは有害と判断されたURLである場合にはアクセスできない。

同社のGumblar対策の仕組み

　この仕組みにより、Gumblar正規サイトを閲覧したユーザーを悪質WebサイトへリダイレクトしようとするGumblarの初期段階での攻撃を阻止する。Web Pulseはクラウド型で提供されており、同社製品のユーザー間でURL情報が共有される。小林氏はこれを「共同防衛網」と表現し、既存の6200万ユーザーが時々刻々と更新するデータベースで、Gumblarによるリダイレクトを完全阻止するとした。