JPCERTコーディネーションセンター(JPCERT/CC)は3日、いわゆる「ガンブラー攻撃」でアカウント情報抜き取りのターゲットとされるFTPソフト、およびWebブラウザについて確認し、公表した。
ガンブラー攻撃で行われるサイト改ざんでは、まずサイト管理者がサイト更新に使用するFTPソフトのアカウント情報(IDやパスワードなど設定情報)を盗み取り、これを使って改ざんが行われる。アカウント情報の盗み方としては、サイト管理者が利用するパソコンの通信を監視し、FTPソフトが使用された際にリアルタイムに盗み取る方法(盗聴)と、パソコンに保存されている設定情報を直接盗み取る方法などが指摘されていた。
JPCERT/CCが今回確認し公表したのは、後者の「直接盗み取る方法」でターゲットとされるFTPソフトである。
■攻撃対象とされるソフトウェア
JPCERT/CCは、ガンブラー攻撃でアカウント情報を盗み取るウイルスを解析し、ターゲットとされるソフトを調べた。その結果、次の15のFTPソフトで、アカウント情報の抜き取りと外部サーバーへの送信が行われることを確認。また、WebブラウザのInternetExplorer(IE)6や、Opera 10.10で保存されているアカウント情報も盗み取られ、外部サーバーに送信されることを確認した。 (IE7 および 8 では確認されていない)
・ALFTP 5.2 beta1
・BulletPloof FTP Client 2009.72.0.64
・EmFTP 2.02.2
・FFFTP 1.96d
・FileZilla 3.3.1
・FlashFXP 3.6
・Frigate 3.36
・FTP Commander 8
・FTP Navigator 7.77
・FTP Now 2.6.93
・FTP Rush 1.1b
・SmartFTP 4.0.1072.0
・Total Commander 7.50a
・UltraFXP 1.07
・WinSCP 4.2.5
■アカウント情報を直接盗まれないFTPソフトは?
アカウント情報が盗まれるFTPソフトが明らかにされたが、では、ウイルスに設定情報を直接盗まれないFTPソフトとは? 上記のなかでも国内外で人気が高い「FFFTP」は、今回の公表以前にユーザーに注意を促し、有志による「FFFTPパスワード漏れ対処版」も公開されている。だが、それが根本的解決策ではないことも付言している。確かに攻撃者が対応すればそれまでであり、これは他の「攻撃対象とされていないFTPソフト」にも言えることだ。
JPCERT/CCも、「今後マルウエアが変化し、アカウント窃取の対象となるソフトウエアが変化する可能性があります」と述べ、攻撃対象FTPソフトが固定的ではないことを示唆している。
■とるべき対策は?
JPCERT/CCは「対策」として、利用しているソフトウエアを最新版に更新することをあげている。現在、ガンブラー攻撃は複数ソフトの脆弱性を使用して行われている。具体的には、Adobe Acrobat、Adobe Reader、Adobe Flash Player、Java(JRE)、Microsoft Windows などで、これらの脆弱性はすでに修正済みのため、これらを最新版にしていれば、改ざんサイトを閲覧しても感染することはない。ただし、今後、攻撃対象となる脆弱性が増えたり変化したりする可能性があるため、常に「最新版に更新する」よう心がけたい。
(2010/02/04 ネットセキュリティニュース)
■JPCERT/CC関連URL
・FTP アカウント情報を盗むマルウエアに関する注意喚起(JPCERT)
http://www.jpcert.or.jp/at/2010/at100005.txt
・Web サイト改ざん及びいわゆる Gumblar ウイルス感染拡大に関する注意喚起
https://www.jpcert.or.jp/at/2010/at100001.txt
■FFFTP関連URL
・FFFTPをお使いの方に重要なお知らせ(Sota's Web Page)
http://www2.biglobe.ne.jp/~sota/
・脆弱性情報>GumblarによるFFFTPへの攻撃について(Sota's Web Page)
http://www2.biglobe.ne.jp/~sota/ffftp-vulnerability.html
・FFFTPパスワード漏れ対処版作ってみた(にょろぷにらん)
http://mag.matrix.jp/mag/queen/log/soft/eid743.html