GUMBLAR(ガンブラー)? と思った時のホームページ確認方法

なぜホームページの確認が必要なのでしょうか?

ホームページを閲覧中にウイルス対策ソフトから警告が表示され、その症状が続いたときは、そのパソコンで管理しているホームページをチェックしてください。

なぜかというと、ホームページ閲覧中のウイルス感染は GUMBLAR(ガンブラー)の可能性が高く、もし万が一、このウイルスに感染した場合は、そのパソコンで管理しているホームページがウイルス・サイトに改ざんされてしまうからです。気付かず放置してしまうと、閲覧者にウイルスをばら撒くことになってしまうので必ず確認してください。

ちなみに、近年、ウイルスに感染すると、どんどん新たなウイルスをダウンロードする傾向にあり、最初の感染時は1個のウイルスでも、短時間で50件から100件のウイルスに感染ということもあります。そして、例えば USB 機器から感染するウイルスであっても、GUMBLAR に複合感染してしまう恐れもあり、どんなウイルスであっても感染したら、そのパソコンで管理しているホームページをチェックしたほうが間違いはないでしょう。

なお、ウイルス感染してしまったときは、最低でも 1か月程度はホームページのチェックを行い、様子を見てください。

それではどのようにホームページをチェックすれば良いのか? その確認方法と、万が一、改ざんを確認したときの対応方法をご説明します。

GUMBLAR ウイルスのホームページ改ざんチェック方法

GUMBLAR は、感染したパソコンから ID とパスワードを盗みます。そして不正侵入を行い、ホームページを改ざんしていきます。ちなみにですが、不正侵入は FTP 接続で侵入するため、ログイン・サイトなど制限サイトであっても改ざんされてしまいます。ホームページを開設している場合は、どのようなサイトでもチェックが必要です。

そしてホームページ改ざんとは、閲覧者をウイルス・サイトに誘導するよう細工のされたリンクが追加で記述されます。ウイルスそのものが埋め込まれることはないので、ウイルス対策ソフトでホームページを検査しても無意味です。また見知らぬファイルが保存されていないか探しても、何も無いのでこちらの作業も無意味です。

それではどうやって改ざんを確認すれば良いのでしょうか?

確実なのは、すべてのホームページのファイル(htmlファイル)を検査することですが… とはいえ、検査のノウハウがなければ時間がかかってしまいます。そこでホームページのサーバーで提供している「ログイン履歴」情報を確認し、不正に侵入された跡の有無を確認します。これならすぐに確認できます。

ちなみにですが、ホームページ改ざんは「不正侵入」を行わないとできません。つまり不正侵入された跡がなければ、改ざんされていません。逆に万が一、不正侵入されている場合は、改ざん被害に遭っています。

改ざんされている場合は、ログイン履歴に見知らぬ IP アドレスが表示されます

万が一、改ざんを確認したときは…

閲覧したユーザーにウイルスを感染させ、被害を拡大させてしまう恐れがあるので、まずはサーバーにアップしてあるホームページを削除し、非公開にします。

ちなみにですが、サーバーにアップしてある全ページを削除してください。なぜなら、検索エンジンから訪問するユーザーは、必ずトップページからというわけではなく、サブページから訪問してくるユーザーもいるためです。*パソコンに原本を持っていない場合は、必ずバックアップを取り、そのあとでサーバーのデータを削除してください。

なお、ここで大切なことは、パソコンの復旧が完了しても、ホームページは最低でも 10日、できれば 30日間非公開にするということです。これは専門家が作業しない限り、すぐに再発してしまう恐れもあり、確認期間が必要なためです。そしてその停止期間中に、不正侵入がなければ無事復旧しています。