Gumbler(GENO/8080系マルウェア)がFFFTPが保存したパスワードを使う件 [PC]
8080系マルウェアと Gumbler(GENO)ウィルスは近いもののようですが、Gumbler ウィルス は FTP クライアントが保存しているパスワードを盗む機能は持っていないようです。
以下では、分かりやすく Gumbler ウィルスと書いていますが、厳密には異なるものです。
【概要】
○ Gumbler ウィルスの問題
○ 対策
自分が把握している、確実にパスワード保存に脆弱性があると報じられている FTP クライアントは、FFFTP、FileZilla で、高い可能性で盗まれると考えられるのは WinSCP です。
根拠は不明ですが、Smart FTP もパスワードが盗まれているという情報があります。
問題がある方に入っていたり、FFFTP からの乗り換え推奨されていたりと、情報が錯綜しているのが NextFTP です。
いっその事サイト構築時には、ウィルス騒動だらけの Windows の使用はやめて、Mac とか、BSD とか、Linux とか Solaris とか、別の OS を使った方が良いかもしれないですね。
ちなみに、ブログとか twitter とか、IE や FireFox といったブラウザで編集するものに関しては、現時点で問題ありません。
【解説】
Gumbler ウィルス(他にも GENOウィルスとか8080系マルウェアとか呼ばれてる)に感染すると、FTP のアカウント情報を盗まれて、サイトを改竄するという話は一般のマスコミがニュースで流しているようなご時世です。
この件で、昨日から新たな大騒動になっています。
フリーFTPソフト『FFFTP』に、8080系のマルウェア感染と同時にID・パスワードを取得される危険性があるそうです(ライフハッカー)
FFFTP のサイトでは、作者さんが解説ページを作られています。
脆弱性情報(Sota's Web Page)
これまでは Gumbler は FTP の通信を監視して(暗号化されていない)平文のアカウント情報(ID とパスワード)を盗むものだと思われていたのですが、この情報によると FFFTP 使用ユーザーは FTP で通信していなくともアカウント情報が盗まれてしまうという事になります。
今の所、ソースコードが公開されている、FFFTP、FileZilla、WinSCP は保存しているパスワードを盗まれるという情報が流れています。
WinSCP については根拠不明ですが、ソースコードが配布されている事から、そういう事があってもおかしくはないと思います。
ソースコードが配布されていないもので、SmartFTP、NextFTP の名が挙がっています。
どちらも根拠不明ですが、NextFTP リストには加えられていたり、そうでなかったりで、どっちなんだって感じです。
SmartFTP は必ず名が挙がってきますが、こちらも根拠不明です。
ソースコードが配布されていようが、そうでなかろうが、保存されているパスワードが Gumbler に盗まれる可能性は常にあります。
レジストリを操作するアプリケーションを作った方は良く分かると思いますが、パスワードの保存先がレジストリなのかファイルなのかではなく、パスワード保存時の暗号化の手法の問題によってパスワードが盗まれるという事です。
FileZilla は Config File に保存するようになっているようですが、既に盗まれている事例が出ているようです。
Thanks and Farewell FFFTP(UnderForge of Lack)
対策ですが、正直完全なものはないと思います。
Gumbler は亜種が次々に出ていて、AntiVirus ソフトウェアのウィルス定義の更新が間に合っているのかどうか分かりません。
既に AntiVirus ソフトメーカーが把握していない未知のバージョンが感染している可能性もあります。
もし、感染していた場合、通信中に平文でパスワードを送信する FTP を使わないのが一番です。
SFTP や FTPS といった、FTP と同じ事をするけど暗号化したデータを送る通信手段を使うべきです。
但し、プロバイダによっては FTP しか使えない所もあるので、そういった場合には使うしかないので困ってしまいます。
過去に FTP で通信した PC で、FTP クライアントソフトにパスワードが保存されている場合、保存されているパスワードを削除するべきです。
通信する際にパスワードを要求されるようになりますが、保存されていなければ Gumbler が盗むべきパスワードは存在しなくなります。
但し、FTP の通信を監視されていれば、パスワードを盗まれる可能性はあります。
そもそも Gambler が感染しない対策が必要です。
サイバークリーンセンター(CCC)|ホームページからの感染を防ぐために Gumblar(ガンブラー)対策
Gambler が感染していなければ、FTP に関する対策は不要です。
(自衛の意味で未対策の FFFTP を使わない方が良いと思います)
この対策をしても、Gumbler は進化を続けるので、引き続き Windows や Acrobat Reader 等がアップデートを出したら即適用し続けなければなりません。
この文章の曖昧な書き方を見て貰えば、危険だけれども対策が難しいというのは分かって貰えると思います。
FTP クライアントからパスワードが抜き取られる件に関しては、fuji @ H.Naito さんという方が検証されたようで、twitter で報告されていました。
(情報の公開ありがとうございます)
という事で、現時点では NextFTP は保存しているパスワードが抜かれる問題はないようです。
通信からアカウントが抜かれているかどうかは不明という事なので、もし抜かれているようであれば、パスワードを保存しないようにしても FTP を使えばパスワードが盗まれるという事になります。
その場合、FTP クライアントは使用を控えるしかありません。
○ webmarketingA 浅井さんによる解説。
ウィルス感染:Dreamweaver,FFFTPも対象:Gumblar および 8080系 の対応策について(2010/01/31)
技術屋サイドではなく、広報サイドからの視点なので、普通の人には分かりやすいと思います。
俺?
昔から NextFTP のユーザーです。
でも、さくらインターネットのスタンダードプランを使うようになってから、Xubuntu Linux でサイト管理やってます。
従って、今回の問題は関係ないです。
念の為に Windows 上で必要になる対策はやりましたけどね。
以下では、分かりやすく Gumbler ウィルスと書いていますが、厳密には異なるものです。
【概要】
○ Gumbler ウィルスの問題
- Windows Update 等の対策なしに感染サイトを見ると、Gumbler ウィルスに感染してしまう。
- Gumbler ウィルスは FTP 通信時にサーバーに送ったデータからアカウント情報(ID+パスワード)を盗むらしい。
- Gumbler ウィルスは FTP 通信をしてなくとも、FTP クライアント(FFFTP等)が保存しているアカウント情報(ID+パスワード)を盗む。
○ 対策
- Gambler ウィルスが自分の PC に感染しない対策を行う。
- サーバーの FTP 接続用パスワードを変更する。
- FTP クライアント(FFFTP等)が保存しているパスワードを削除する。
- 脆弱性が指摘されている FTP クライアントの使用をやめる。
- 可能であれば、必ず SFTP か FTPS で通信を行う。
- 自分のサイトが感染していないかチェックする。
- 他者に自分のサイトを管理して貰っていたら、早急に問題がないか確認して貰う。
自分が把握している、確実にパスワード保存に脆弱性があると報じられている FTP クライアントは、FFFTP、FileZilla で、高い可能性で盗まれると考えられるのは WinSCP です。
根拠は不明ですが、Smart FTP もパスワードが盗まれているという情報があります。
問題がある方に入っていたり、FFFTP からの乗り換え推奨されていたりと、情報が錯綜しているのが NextFTP です。
いっその事サイト構築時には、ウィルス騒動だらけの Windows の使用はやめて、Mac とか、BSD とか、Linux とか Solaris とか、別の OS を使った方が良いかもしれないですね。
ちなみに、ブログとか twitter とか、IE や FireFox といったブラウザで編集するものに関しては、現時点で問題ありません。
【解説】
Gumbler ウィルス(他にも GENOウィルスとか8080系マルウェアとか呼ばれてる)に感染すると、FTP のアカウント情報を盗まれて、サイトを改竄するという話は一般のマスコミがニュースで流しているようなご時世です。
この件で、昨日から新たな大騒動になっています。
フリーFTPソフト『FFFTP』に、8080系のマルウェア感染と同時にID・パスワードを取得される危険性があるそうです(ライフハッカー)
FFFTPは非常に優れたフリーのFTPクライアントでした。本当に感謝いたします。
しかし、 Version 1.96d [2008/9/23]を最後に更新停止されており、レジストリに ID/Password/接続先 を書き込むため、現在 8080系のマルウェアによって、感染と同時に窃取される危険性があります。
これまでの使用実績に感謝しつつ、ソフトをアンインストールし、以下のレジストリを必ず消去してください。
FFFTP のサイトでは、作者さんが解説ページを作られています。
脆弱性情報(Sota's Web Page)
これまでは Gumbler は FTP の通信を監視して(暗号化されていない)平文のアカウント情報(ID とパスワード)を盗むものだと思われていたのですが、この情報によると FFFTP 使用ユーザーは FTP で通信していなくともアカウント情報が盗まれてしまうという事になります。
今の所、ソースコードが公開されている、FFFTP、FileZilla、WinSCP は保存しているパスワードを盗まれるという情報が流れています。
WinSCP については根拠不明ですが、ソースコードが配布されている事から、そういう事があってもおかしくはないと思います。
ソースコードが配布されていないもので、SmartFTP、NextFTP の名が挙がっています。
どちらも根拠不明ですが、NextFTP リストには加えられていたり、そうでなかったりで、どっちなんだって感じです。
SmartFTP は必ず名が挙がってきますが、こちらも根拠不明です。
ソースコードが配布されていようが、そうでなかろうが、保存されているパスワードが Gumbler に盗まれる可能性は常にあります。
レジストリを操作するアプリケーションを作った方は良く分かると思いますが、パスワードの保存先がレジストリなのかファイルなのかではなく、パスワード保存時の暗号化の手法の問題によってパスワードが盗まれるという事です。
FileZilla は Config File に保存するようになっているようですが、既に盗まれている事例が出ているようです。
Thanks and Farewell FFFTP(UnderForge of Lack)
対策ですが、正直完全なものはないと思います。
Gumbler は亜種が次々に出ていて、AntiVirus ソフトウェアのウィルス定義の更新が間に合っているのかどうか分かりません。
既に AntiVirus ソフトメーカーが把握していない未知のバージョンが感染している可能性もあります。
もし、感染していた場合、通信中に平文でパスワードを送信する FTP を使わないのが一番です。
SFTP や FTPS といった、FTP と同じ事をするけど暗号化したデータを送る通信手段を使うべきです。
但し、プロバイダによっては FTP しか使えない所もあるので、そういった場合には使うしかないので困ってしまいます。
過去に FTP で通信した PC で、FTP クライアントソフトにパスワードが保存されている場合、保存されているパスワードを削除するべきです。
通信する際にパスワードを要求されるようになりますが、保存されていなければ Gumbler が盗むべきパスワードは存在しなくなります。
但し、FTP の通信を監視されていれば、パスワードを盗まれる可能性はあります。
そもそも Gambler が感染しない対策が必要です。
サイバークリーンセンター(CCC)|ホームページからの感染を防ぐために Gumblar(ガンブラー)対策
Gambler が感染していなければ、FTP に関する対策は不要です。
(自衛の意味で未対策の FFFTP を使わない方が良いと思います)
この対策をしても、Gumbler は進化を続けるので、引き続き Windows や Acrobat Reader 等がアップデートを出したら即適用し続けなければなりません。
この文章の曖昧な書き方を見て貰えば、危険だけれども対策が難しいというのは分かって貰えると思います。
FTP クライアントからパスワードが抜き取られる件に関しては、fuji @ H.Naito さんという方が検証されたようで、twitter で報告されていました。
(情報の公開ありがとうございます)
まあFFFTPに限らず、各クライアントでパスワードを保存するタイプでは同じ事が言えるから設定や管理に気をつけましょうとしか言えんわなぁ・・・
FFFTPはパスワードを空にすればログイン時にパスワードの入力を求めるプロンプトちゃんと出してくれます。 なので正しくは「FTPクライアントにパスワードを保存するのはやめましょう」です。
実はFFFTPの設定はレジストリではなくiniファイルに保存する事も出来るんだけど、案外知られてない?
まあ問題の本質はPC内にパスワードが保存されているから盗まれるってことなのでレジストリだろうがiniファイルだろうが盗まれるときは盗まれるけど。
FFFTPの件は使用を中止するのではなく、保存されているパスワードを削除するのが正しい対処です。 他のクライアントに乗り換えてもパスワードを保存すれば亜種が出た際に同じ事になります。
FFFTPを使う事でウイルスに感染したりはしませんよー・・・
とりあえず FFFTP、 NextFTP、WinSCP、FileZilla、SmartFTP が主要なクライアントかな
検証結果: FFFTP以外のメジャーなFTPクライアントも攻撃対象
8080と呼ばれているウイルスですが、FFFTP以外にもSmartFTP、FileZilla、WinSCPのアカウント情報を盗みFTPサーバーへアクセスしてきます。
まあここら辺は読みどおりだったなぁ。 メジャーなFTPクライアントほぼ全滅確定でいいはず。
NextFTPだけセーフか・・・
今回は FFFTP、NextFTP、 WinSCP、FileZilla、SmartFTP の5つのみが検証対象です。 恐らくそれ以外のクライアントも可能性あるでしょう。
8080系ウイルスはFFFTP以外にもSmartFTP,FileZilla,WinSCP等に保存されている情報を盗みウェブサイトを書き換えます。 FFFTPを使うなは間違いで、正しくはパスワードを保存しないことです。
実は解かなきゃいけない要素が1つ。 Gumblar系はFTP通信を盗聴しアカウントを盗む。 8080系はFTPクライアントの保存されたアカウントを盗む。 8080系もFTP通信からアカウントを盗むかは未確認。
という事で、現時点では NextFTP は保存しているパスワードが抜かれる問題はないようです。
通信からアカウントが抜かれているかどうかは不明という事なので、もし抜かれているようであれば、パスワードを保存しないようにしても FTP を使えばパスワードが盗まれるという事になります。
その場合、FTP クライアントは使用を控えるしかありません。
○ webmarketingA 浅井さんによる解説。
ウィルス感染:Dreamweaver,FFFTPも対象:Gumblar および 8080系 の対応策について(2010/01/31)
技術屋サイドではなく、広報サイドからの視点なので、普通の人には分かりやすいと思います。
俺?
昔から NextFTP のユーザーです。
でも、さくらインターネットのスタンダードプランを使うようになってから、Xubuntu Linux でサイト管理やってます。
従って、今回の問題は関係ないです。
念の為に Windows 上で必要になる対策はやりましたけどね。
難し過ぎて、、、わかりません^^;
by emuzu (2010-02-01 13:12)
難しいんですが、この記事は他の記事の数倍の参照が行われています。(^-^;
by こーすけ (2010-02-01 15:51)