セキュリティ企業の米シマンテックは2009年5月19日、現在出回っている「Webウイルス(Webページに埋め込まれるタイプのウイルス)」が巧妙化しているとして注意を呼びかけた。別のウイルスをダウンロードするためにアクセスするサイトを変更したり、検出されにくくする“工夫”を施したりしているという。

 セキュリティ企業や組織は2009年5月13日以降、「JSRedir-R(ジェイエス・リダイレクト・アール)」あるいは「Gumblar(ガンブラー)」などと呼ばれるウイルスが出回っているとして、相次いで注意を呼びかけている。

 このウイルスの実体はJavaScriptで書かれたプログラム。攻撃者は何らかの方法で正規サイトに不正侵入し、このウイルスをWebページに埋め込む。シマンテックでは、WebサーバーのFTPアカウントを破られて侵入されている可能性が高いとしている。

 ウイルスには、Adobe ReaderやAcrobat、Flash Playerの脆弱性を悪用する仕掛けが施されている。このため、これらのソフトをアップデートしていないパソコン(脆弱性が存在するパソコン)では、該当のWebページにアクセスするだけで、ウイルスに感染する恐れがある。

 具体的には、このウイルスとは異なるウイルスを、特定のサイト(サーバー)からダウンロードされて実行される危険性などがある。当初、ダウンロードサイトだったのは「gumblar.cn」というドメインのサイト。このサイトは2009年5月15日に閉鎖され、アクセスできないようにされた。

 ところがシマンテックによれば、このサイトの代わりに「martuz.cn」ドメインのサイトが構築され、ウイルスはこのサイトから別のウイルスをダウンロードするようになっているという。

 加えて、より難読化されたWebウイルスが確認されている。難読化とは、特定のルールで変換するなどして、そのままではプログラムの内容が分からないようにすること。以前のウイルスも難読化されていたものの(図)、一層分かりにくくしているという。このため、サイト管理者などがWebページをチェックしても、ウイルスが埋め込まれていることに気付かないだろうとしている。

 また、Webブラウザー「Google Chrome」に対抗するための“チェック機能”を新たに備えた。Chromeには、グーグルなどが提供するブラックリストを基に、アクセスするサイトが安全かどうかをチェックする機能がある。そこで、アップデートされたWebウイルスは、Chromeに読み込まれた際には、別のウイルスをダウンロードするサイトにアクセスする前に、そのサイトがブラックリストに登録されていないかどうかをチェックするという。

 シマンテックでは、今後もウイルスは姿を変えていくだろうと警告。ユーザーとしては、絶えず最新のソフトウエアを使うようにして、脆弱性を悪用されないようにすることが重要だとしている。また、Webサイトの管理者に対しては、サイトのセキュリティを強化するようアドバイスしている。