Gumblarでは、Webサイトにコンテンツをアップロードする際に使うFTPのIDとパスワードが盗まれることが大きな問題になっている。Gumblarの攻撃によりPCなどに侵入したウイルスは、そのパソコンからのFTP通信を盗み見たり、パソコン内の登録情報からIDとパスワードを盗み出す。この盗み出した情報を悪用し、正規のWebサイトに新たなGumblarが埋め込まれたり、大事な情報が盗み出されたりする可能性があるからだ。

ファイル転送に使うパスワードを盗んで悪用

 こうしたID/パスワード盗用に対して一般に推奨される対策は、コンテンツのアップロードの際に、(1)IPアドレスによる接続元制限と、(2)FTPの利用せず暗号化通信--を使うというものである。

 このうち、(1)のIPアドレスによる接続元制限は、最近のGumblarの流行を受け月額費用数百円程度のホスティングサービスでも利用できるようになってきた。もし利用中のホスティングサービスがIPアドレスによる接続元制限に対応していない場合は、別のサービスに変更することも検討するとよいだろう。

 (2)のFTPの利用をやめるという対策もよく言われる。その際に、Gumblarが狙うFTPクライアントとしてFFFTPを指摘し、代替え策としてWinSCPによるファイルの暗号化通信を推奨している場合がある。だが、2010年2月3日にJPCERTコーディネーションセンター(JPCERT/CC)が公開した「JPCERT FTP アカウント情報を盗むマルウエアに関する注意喚起」によると、Gumblarによる悪用が報告されているのはFFFTPだけではない(図21)。


 - ALFTP 5.2 beta1
 - BulletPloof FTP Client 2009.72.0.64
 - EmFTP 2.02.2
 - FFFTP 1.96d
 - FileZilla 3.3.1
 - FlashFXP 3.6
 - Frigate 3.36
 - FTP Commander 8
 - FTP Navigator 7.77
 - FTP Now 2.6.93
 - FTP Rush 1.1b
 - SmartFTP 4.0.1072.0
 - Total Commander 7.50a
 - UltraFXP 1.07
 - WinSCP 4.2.5
図21●JPCERT/CCが公開したGumblarによる悪用が報告されているソフト

 つまり、FFFTPはたまたま日本での利用ユーザーが多かったことから、GumblarによるFTPパスワード盗難被害のターゲットとして取り上げられただけで、FFFTPに原因があったわけではない。FFFTP以外のファイル転送ツールでも、FTPのIDやパスワードが盗まれる被害に遭っている。代替策として取り上げられたことがあるWinSCPも、Gumblarのターゲットとなっているソフトの一つである。

 つまり、FFFTPだろうとWinSCPだろうと、ファイル転送のIDとパスワードを、INIファイルやレジストリなどの形でPC内に書き込んで保存している限り、Gumblarに盗まれてしまう可能性がある。たとえ、レジストリ内に暗号化して書き込んでいようが、その値をそのままコピーされて他のPCに取り込まれてしまえば、暗号化されたままパスワードは盗まれてしまう。

パスワードを保存せずに接続制限と併用するのが有効

 この対策としては、ファイル転送のIDとパスワードを、面倒でもPCに保存しないようにすべきである。そのうえで、さらにIDとパスワードが盗まれても、外部からWeb改ざんができないようにIPアドレスによる接続制限したり、VPN接続のみにアクセス制限するなど、多段のセキュリティをかけるしかないと筆者は考える。

 具体的には、SSL-VPNやIPsecなどでVPN接続した場合にだけWebコンテンツを更新できないようにする。さらに、物理媒体を使ったトークンや証明書を組み合わせるようにすると、たとえ何らかの手段でIDとパスワードが盗まれた場合でも、Webが改ざん侵入されないような対策となるのでベストである。

 とはいえ、それでも汚染されたWebコンテンツを自らアップロードしてしまうというケースを防ぐことはできない。やはり、前回の記事で紹介した手段で、アップロード前にWebコンテンツの安全性は別途確認しておく必要がある。

この先は会員の登録が必要です。有料会員(月額プラン)は初月無料!

日経 xTECHには有料記事(有料会員向けまたは定期購読者向け)、無料記事(登録会員向け)、フリー記事(誰でも閲覧可能)があります。有料記事でも、登録会員向け配信期間は登録会員への登録が必要な場合があります。有料会員と登録会員に関するFAQはこちら