GENOウイルスとは (ジェノウイルスとは) [単語記事]

最優先の対策としてFlash PlayerとAdobe Readerを最新版にし、Windows Updateをしてください。

GENOウイルス、正式名称「Gumb lar」とは、様々な方法で閲覧者をハッキング（クラッキング）するための手法である。

なお、この攻撃手法について、ウィルス対策ソフトウェアベンダーなどでは「JSRedir-R」とも呼んでいる。

概要

この名称は2つの攻撃方法を総称しており、次のどちらかを指す。

まずSQLインジェクションやXSSなどの対策をしていない脆弱なサイトを標的にクラッカーが攻撃を行い、管理者パスワードなどを盗みとってサイトを乗っ取り、Web ページに細工をする。
細工は主にWeb ページのHTML文章に悪意あるJavascriptを呼び出させ、特定の海外のWeb サイトにアクセスさせ、Flash PlayerやAdobe Readerの脆弱性をついたマルウェアに感染させるようにするように仕向ける。
こうしたWeb サイトの改ざんによって感染源となったサイトやこの攻撃手法をGumb larと呼ぶ。
または、こうして改ざんされたページから受ける攻撃を総称してGumb larと呼ぶ。
攻撃を受けた感染者がFTPサーバを有していた場合、FTPアクセスを監視してパスワードを盗み、入手したパスワードを利用してデータの改ざんや盗難・流出を発生させる。この際に1で挙げたサイトの改ざんも行われる。
そうでないPCでもマルウェアがさらなるウィルスやトロイの木馬を呼び込み、下記の攻撃を受け、クレジットカードなどのデータの流出やクラッカーによるPCの完全制御(Bot net化)などが行われる可能性がある。

ウィルスなどではなく攻撃の総称であるため、一意の対策は存在しない。
FirefoxやOperaなどの専用ブラウザを導入し、Javascriptの実行を抑止する拡張機能を導入するしかない。

主な攻撃と症状

以下が「報告されている」症状。ただし一例であり感染者（とクラッカーの振る舞い）によって動作は異なる。

感染後にFTPに接続するとログイン情報が送信され勝手にFTP上のファイルを改竄される
sql sodbc.chmを改変
cmd.exe、regedit.exeが起動不能
一部のアンチウイルスソフトが更新不能
特定サイトにアクセス不能(Windows Update、アンチウイルスソフト関連サイト)
ネットワークのトラフィックを監視、ユーザー名やパスワード等の情報を収集
Googleの検索結果を改竄(リンクを弄る)
explorer.exeや一部のブラウザが異常終了
Acrobatが勝手に起動
PDF ファイルやシステムファイルが増殖
CPU、メモリ使用率がUP
再起動時にBSOD
NTFSが壊れかかる（Windows標準のchk dskでは修復不可能)

なお、Windows Vistaは感染しないなどの情報もあるが、下記の対策はOSなどに関わらず常にとることが重要。

対策

WindowsUpdateなどのOSのアップデートを行う。
Flash PlayerやAdobe Readerを最新版にする、もしくは削除する。
IEエンジンではない専用のWeb ブラウザを導入し、Javascriptをオフにする。
リンク先の正体が分からないURLを開かない。

以上の事は安全にインターネットを利用する際の基本的な心構えである。

正体不明のURLを開かないのは当然のことであるが、今回の事例でもあるように大企業や官公庁の公式ホームページが改竄されることもままある。ソフトウェアを最新に保ち脆弱性を残さないということが絶対に必要である。

ウィルスの配布元になっているコンピュータはいくらでも変わりうる。一部まとめサイトなどに書かれている「特定のIPアドレスへのアクセスを禁止」は何の対策にもならない。

なぜ同人なのか

この攻撃は同人サークルのサイト経由で感染するという事例が多数報告されている。これは、サイトの管理人が個人レベルであり、日頃ウェブ閲覧に使っているPCでサイトの更新をしていることが原因であると考えられる。
また上述のようにこの攻撃はサイトを閲覧せずともクラッカー自らが行うことがあるため、単純にそのサイトのパスワードなどが非常に単純であっただけかもしれない。
しかし、実際は同人サークルに限らず全てのウェブサイトが同様の仕組みで改竄される。現実にJR東日本など大企業のウェブサイトも攻撃を受けたため、同人サークルサイトの閲覧をしなければ安全という考え方は間違いである。

ウェブサイト管理者向けの対策

まずは他のサイトから感染しない事が重要。そして、ウェブサイトを更新しようとする前に自分が感染していないことを確認する必要がある。

万が一感染をしていたらそのPCでウェブサイトの更新はしてはならない。この際、すでに感染したあとに改竄されてウィルスの配布元にされている可能性があるため、感染していない他のPCやOSを再インストールした後のPCなどでFTPのパスワードを変更し、サイトを一時閉鎖するなどの必要な措置をとること。この際、トップページだけを変更するのは、別のページへのリンクが他のサイトからされている可能性があるため無意味である。必ずサイト全体を一時閉鎖などすること。

一時閉鎖などの措置をとれないなどという泣き言は通用しない。全世界に情報を発信するということはそれ相応の責任が付いてくるということである。

今回の件の直接の原因ではないが、FTPは性善説に基づいた、セキュリティを考慮していないプロトコルである。通信内容は暗号化されず、パスワードすらそのまま送信される。そのため、今回のウィルスは通信内容を盗み見ることができ、感染拡大できた。サーバーの事情もあるかもしれないが、可能であればより安全なSFTPなどのプロトコルに乗り換えることが望ましい。

名前の由来

この攻撃手法はGENOウィルスと呼ばれている。これは、流行の初期の段階で改竄されたサイトに中古 PC販売会社「GENO」のものがあったことに由来するのだが、この通称を決定的にしたのはGENO社の対応の杜撰さである。詳細はまとめサイトなどに譲るが、セキュリティの知識と良心があれば絶対にとらないであろう対応であると言える。

また「Gumb lar」の名の由来は、当初この攻撃によって誘導されるページが「Gumb lar .cn」であったことに由来する。

サイト管理者で万が一にも感染・改竄があった場合、決して隠蔽などをせず、事実を閲覧者に伝えること。そうしなければ感染を拡大させることになる。