「GENOウイルス」対策について

G Data Software株式会社（代表取締役社長：Jag 山本、本社：東京都千代田区）は、日本で猛威をふるっているGENOウイルスについて、経緯、挙動、対策について報告します。

●要点
GENOウイルスは、ウェブブラウザを開くだけで感染する「ドライブバイダウンロード」の一種です。感染すると、アカウントを盗まれたり、ネット犯罪者のためのボットネットの一部にされるといった実害があります。

対策としては、(1)ソフトを最新の状態にする、(2)ファイアウォールをアクティブにする、(3)ウイルス対策ソフトを適切に使用する、などです。亜種が増産されていますので、継続してご注意ください。

●経緯
2009年4月頃より日本企業のホームページや個人サイトなどが改ざんされるという出来事が多発しており、特に、感染したPC通販サイト「GENO」の名をとって、ウェッブ上では総称して「GENOウイルス」と呼ばれ、先週末頃に、アニメや漫画・ゲームなどの同人サイトが連鎖的に感染するに至り、昨今の豚インフルエンザのパンデミックと重ね合わせて、現在ややパニック状態に陥っているのが現状です。

しかしGENOウイルスの騒動は、ワクチンがないために起こっているのではありません。G Dataの場合、5月15日に発生した「Troj/JSRedir-R」の名称で知られるウイルスについては、JS:Redirector-H7として、ほぼ同時間で対応するほか、Trojan.JS.PYU、HTML:IFrame-EBなどがすでに検出されています。

つまり、GENOウイルスは、基本的な対策を改めてきちんと行うことで十分に防ぐことが可能です。この機会に、文末に掲げました注意事項をご確認いただき、安心なネット生活を楽しんでいただければと思います。

●GENOウイルスとは
GENOウイルスは、広くは「トロイの木馬型ウイルス」に属し、PDFやFlashにおける脆弱性を利用した、ドライブバイダウンロードと呼ばれるものの一種です。ウェブブラウザを通じて攻撃者がユーザーに悪意あるエクスプロイトコードをリダイレクトさせ、ウイルスを仕込んだサイトへと誘導させるもので、特に何かをクリックしたり、ダウンロードしたりしなくても、ただブラウザを起動し、あるウェブサイトを開いただけで仕組まれます。以下の、3段階があります。

（１）Google検索結果の操作
GENOウイルスがパソコンに侵入すると、マルウェアはインターネットブラウザに潜んで、検索エンジンGoogleの検索結果を操ります。GENOウイルスによって操作された検索結果は、攻撃者がコントロールしているウェブサイトを表示させます。このサイトをクリックすると、犯罪者たちの作成したウェブサイトに誘導され、更に別の罠を仕掛けられます。

（２）FTPアカウントの窃取
このウイルスには、検索結果を操作するだけでなく、FTPのログイン情報を盗む内容が含まれています。攻撃者の目的は、FTPアカウントを使ってウェブサーバにアクセスし、さらにマルウェアを多く配布できるように仕掛けることです。ウェブサイトの内容をアップデートするときや、感染の可能性を疑って確認しようとするときに、FTPを通してウェブサーバにつながるのを狙って、マルウェアは悪意のあるスクリプトコードを仕掛けるのです。その後、感染したウェブサイトを訪問する人たちも、同様に感染しパンデミックを引き起こします。

（３）被害PCのボット化
さらにまた、GENOウイルスは、バックドアを感染したシステム上にインストールし、攻撃者がシステムを遠隔操作できるようにし、将来的にはボットネットの一部として使われるおそれがあります。ボット化すると、犯罪に加担するのみならず、パソコンに負荷をかけられてしまいます。

ネット犯罪者たちは、近年この手法を多用しており、新種ウイルスの発生数の増加の一因ともなっています。G Dataのみならず何人かのセキュリティ専門家の推測では、3,000以上のドメインは、すでに感染していると推定しています。この数は今後も、恒常的に増大するおそれがあります。また感染していながら、まだ報告にいたっていないドメインも含めると、より大きな数字となるでしょう。

特に慎重を要するのは、この悪意のある罠は、決して一面的ではないということです。感染したシステムの特定のパラメータに基づいて亜種が生み出されているため、たえず最新の状態にすることが重要です。当初GENOウイルスがさらなる悪性コードをダウンロードしていた中国のドメイン「gumblar.cn」「martuz.cn」は、もはや利用されておりません。それでも、感染している間にインストールされたバックドアのために、終息する見込みは、まだ見えてはいません。

●GENOウイルスへの対策について
アップデートを後回しにしたり、肝心なセキュリティをインターネット利用中に切ったりするなど、不適切な対策の習慣を、ネット犯罪者たちは見逃しません。

ジーデータセキュリティラボ所長のラルフ・ベンツミュラーは、定期的にOSとインストールされたアプリケーションソフトウェアをチェックし、すべて最新版をインストールすることを推奨します。また、ユーザーがどのように彼らのシステムを保護することができるかについて、以下の6点について注意を促します。

（１）ソフトの脆弱性の確認
画像またはビデオ編集ツールと同様に電子メールクライアント、チャットプログラムとダウンロードマネージャのようなアプリケーションソフトウェアは、脆弱性を持つ可能性があり、攻撃者が簡単に悪用できる裏口となります。脆弱性情報を確認するには、JVN（Japan Vulnerability Notes、http://jvn.jp/）などを利用するとよいでしょう。

（２）ソフトのサポートの有無
サポートを終了してしまったプログラムの利用は控えるべきでしょう。できれば、システムから削除した方が無難です。パッチと最新版がもはや利用できない古いWindows OSについてもあてはまります。

（３）制限ユーザーでのログイン
Windowsのユーザー権限を適切な構成にすることで環境をクリーンに保つこともできます。できれば、インターネットをサーフィンするとき、制限ユーザーでログインしてください。これは、管理権限を持つユーザーアカウントと比較してセキュリティに関してかなりの利益を得られます。管理者のアカウントがシステムに存在しているならば、制限ユーザーアカウントはWindowsコントロールパネルの「ユーザーアカウント」機能を使って簡単につくることができます。もしWindows OSを再インストールする予定があるならば、インストールの間に、制限ユーザーをつくることをお勧めします。

（４）ウイルス対策ソフトの適切な使用
最新のアンチウイルスソフトまたはインターネットセキュリティソフトを使用してください。また、最新のパターンファイルとプログラムアップデートをダウンロードするのを忘れずに行ってください。ただインストールをするだけで更新がなされていなかったり、古いバージョンのまま使用するのは、かえって危険性が増します。なお、HTTPスキャン機能のあるソフトは、ウイルスを仕掛けたウェブの読み込み自体をブロックするので、機能をオフにしている場合はオンにしてください（ジーデータ製品はデフォルトでオンになっています）。

（５）ファイアウォールの使用
ファイアウォールを未導入の場合、または非アクティブの状態でインターネットを利用している場合、特にオンラインゲームを利用する際にファイアウォールを非アクティブにしている場合、ファイアウォールの速やかな利用をお勧めします。これは、直接、ISDNまたはモデム接続を通してダイヤルアップネットワークを使っているインターネットに接続するシステムだけでなく、ルータを使用している場合であっても、同様に注意が必要です。

（６）不要なデータの削除
不必要なデータは、システムのチューニングとレジストリをクリーニングするコンポーネントを含んだ統合セキュリティソフト（たとえば「G DATAインターネットセキュリティプラス」）を用いて、システムから除去してください。これは、Windowsをより安定でより速くすることにもなります。