Gumblarが大流行し、大手メディアでも取り上げられるようになりましたが、情報が錯綜しているようです。そこで、実際に検体を解析しましたので、よくある間違いをQ&A形式にてお伝えします。

Q. OSだけでなくすべてのソフトウェアを最新版にアップデートしておけば大丈夫ですか?
A. 違います。最新版でも攻撃を受ける可能性があります。未パッチのAdobe Reader/Acrobatの脆弱性を攻撃するものも出回りましたので、対策としてはAdobe Reader/AcrobatのJavaScriptを無効にする必要があります。
修正版ソフトウェアは2010年1月12日(日本時間だと13日)に出る予定です。ただし、今後も同種の脆弱性が発見され、修正版がなかなか出ない可能性もありますので、数年間はAdobeのJavaScriptは無効のままにしておいたほうがいいと思います。

Q. GumblarとはGENOウイルスの別名ですか、亜種ですか?
A. 細かく言うと現在Gumblarと呼ばれているものはGumblar.xのことです。亜種の定義がよくわかりませんが、攻撃する脆弱性も違いますし、作成されるファイルも、対策も違いますので別物と考えたほうがいいでしょう。

Q. FTPサーバにアクセスできるIPアドレスを制限しておけば大丈夫ですか?
A. 半分は大丈夫ですが、半分は防ぎきれません。防げないケースとして、サイト管理者のマシンが乗っ取られてFTPサーバに侵入されるというのがあります。

Q. FTPのパスワードを変更すれば大丈夫ですか?
A. 新しいパスワードでログインするときに再び盗まれます。まず、現在感染していないかを確認してください。

Q. プライベートアドレスを使っていれば、バックドアには入られませんか? または、ファイヤーウォールで内向きの通信を遮断しておけば大丈夫ですか?
A. 違います。バックドアへの命令は外向きの通信のレスポンスの中に書かれているものもありますので、インターネットにアクセスできる環境であればバックドアの脅威があります。

Q. バックドアで何をされるのですか?
A. 任意のコマンドを実行できるようになっていますので、被害者のコンピュータから情報を盗んだり、攻撃の踏み台に使われたりする可能性があります。

Q. 更新料のかかるウイルス対策ソフトを使っていれば大丈夫ですか?
A. 残念ながら違います。亜種が出てからウイルス対策ソフトが対応するまでに少し時間がかかりますので、その間を狙われます。

Q. 一度ウイルスを検知した気がしたのですが、もう一度アクセスすると検知しませんでした。最初のは気のせいですか?
A. 違います、一度目はウイルスを検知している可能性があります。Gumblarは解析されるのを防ぐため、一度ダウンロードされたIPアドレスからは二度とダウンロードできないようになります。最初のアクセスの時にウイルスがダウンロードされたので、二度目のアクセスの時にはダウンロードされなかったのだと思われます。ちなみにこのような耐解析機能を持つのはGumblarだけというわけではありません。

Q. 安物のウイルス対策ソフトのほうが検出率がいいような気がするのですが?
A. 上記の耐解析機能によりウイルスがダウンロードされなかった場合、ウイルス対策ソフトでは検知しないことがあります。(というより、何もダウンロードされてないのですから検知しないのは当然です。)しかし、Webページには変なJavaScriptが埋め込まれていますのでそれを検知するウイルス対策ソフトもあります。一般的にいうと誤検知ですね。ただ、Webサイト管理者としては変なJavaScriptを検知してくれたほうがうれしいという複雑な状況になっています。

Q. Webサイトが安全かどうかをチェックしてくれるサイトを使って調べれば大丈夫ですか?
A. これも上記の耐解析機能により、チェック元のIPアドレスからはすでにダウンロードできなくなっている可能性が高いです。つまり、ある環境から見て安全だったからといって、別の環境から見ても安全だとは限りません。

Q. ライセンスがGNU GPLからLGPLに変わったそうですが、具体的には何が変わるのですか?
A. 何も変わりませんので、無視してください。ただ、LGPLだと検知できないウイルス対策ソフトもあるみたいです。

Q. 結局どうすればいいんですか?
A. まず、感染していないかを確認してください。
その後は、
・OSやインストールされているソフトウェアを最新版にする
・ゼロデイ情報に注意し、暫定対応を実施する
ということになります。