Gumblar系ウィルスとFTPクライアントの話。

窓の杜:JPCERT、マルウェアによるアカウント情報窃取が確認されたFTPクライアントを公表

 いまだに被害が広がり続けてるらしいGumblar系ウィルス。超大雑把に説明すると次のようなもの。

 まず、保菌しているウェブサイトを閲覧すると、主にブラウザ周り(ブラウザ自身やAdobeReaderなど)の脆弱性から閲覧者のPCに感染する。感染してなにをするかはモノによるが、PC内部の情報を盗んだりする。で、同時にFTPアカウントも盗み出し、ウェブサイトを改ざんする。こうして保菌ウェブサイトと感染者がどんどん増えていく仕組み。

 感染する原因は「保菌ウェブサイトを閲覧すること」というか、「ウェブサイトの指示に従って、怪しいファイルを実行してしまう脆弱性」が問題。リンク先の記事の、リストで挙げられているソフトを利用しているからではない

 感染しているか確かめるには、決定打となる方法は聞かないが、アンチウィルスでブートレコード含めて全検査しとけばいいらしい――ってそらまあそうだろうよ!?

 で、記事の内容だが、「セキュリティ団体が現時点で確認した、アカウント情報が盗まれるFTPクライアント」の一覧。感染後、ウェブサイトを改ざんする段階で利用されるもの。感染した時点で、他の情報も盗まれている可能性があるわけで、リンク先の記事の、リストで挙げられているソフトを利用していなければ安心というわけではない。「これ以上被害者を増やさないように、自分の管理するウェブサイトに責任を持ちましょう」という話。
 それに、このリストは完全無欠ではない。現時点でセキュリティ団体によって確認されたものというだけで、チェックされていないクライアントもあるし、ウィルス側が対応クライアントを拡大することだってある。

 また、このリストで挙げられているクライアントを利用していても、感染拡大(自分の管理するウェブサイトの感染)を回避できる場合もある。今回の場合、アカウント情報(パスワードを含む)が保存されていて、ウィルスに読めてしまうのが問題なわけで。アカウント情報を保存していなければ、この手法の場合に限り関係ない。
 対応ソフトでマスターパスワードを設定している人も、同様に回避できる可能性がある。マスターパスワードは大抵の場合、読めては困る情報を暗号化する(マスターパスワードを知らなければ読めなくする)ために使われるからだ。このリストの中では、例えばOperaや、強化パッチをあてたFFFTPがマスターパスワードに対応している。今後のことも考えて、Fxなどでもマスターパスワードを有効にしておくといいんじゃないかな。

 ただ、FTPは平文でやりとりする仕組みなので、パケット読まれてたらどの道アウト。よりセキュアな通信手段(SFTPとかFTPSとかSCPとか)を使える環境の人は、FTPを捨てるべき。

 なお、Operaのマスターパスワードは確かにWand(Operaの認証管理)情報の暗号化に利用されるが、その適用範囲はパスワードのみらしい。マスターパスワード使っていてもURLやIDは平文で保存されてるので、「URLやIDが流出するだけで困る」場合は、そもそも保存させないようにしよう。つーかOpera(に限らずブラウザ提供側)はそういう情報を利用者に積極的に説明しろと。

@IT新春早々の「Gumblar一問一答」 -- ちゃんと理解したい人は読むよろし。


[PR]
by lordnoesis | 2010-02-03 23:54 | テクノロジ | Trackback | Comments(0)
トラックバックURL : http://poimono.exblog.jp/tb/13649420
トラックバックする(会員専用) [ヘルプ]
※このブログはトラックバック承認制を適用しています。 ブログの持ち主が承認するまでトラックバックは表示されません。
名前
URL
画像認証
削除用パスワード

※このブログはコメント承認制を適用しています。ブログの持ち主が承認するまでコメントは表示されません。

ブログトップ | ファンになる