昨年から続く国内のサイト改ざんが、いっこうに終息する気配を見せず、ついにはFTPのパスワードを強制的に変更し、サイト改ざんの連鎖を一気に清算しようとするプロバイダーも出てきた。サムライファクトリーは明日1日、全忍者ホームページユーザーのFTP接続用パスワードを一旦リセットし、同日よりFTPS非対応ソフトでの接続も禁止する。
年末年始のサイト改ざん大量発生後は、ユーザーに自主的な対応を呼び掛けるだけでなく、Webサイトなどを提供するプロバイダー自身も、積極的な対策を進めている。各社がとっている対策をみてみると。
【サイトブロック】
ユーザーの対処を待たずにサイトの公開を一時停止する措置をとっているところでは、閲覧者からの通報などでウイルス感染が確認されると、ただちにサイトへのアクセスをブロック。サイトのオーナーに通知し、改修後に再開というやり方で、公開期間を最小限にとどめた拡散防止に努めている。
プロバイダによってかなり温度差があるものの、積極的に取り組むプロバイダは、Gumblar以前には見られなかった俊敏な閉鎖措置をとっている。
【日本国外からのFTPアクセス禁止】
So-netでも行っている、日本国外からのFTPアクセスの規制措置は、改ざん防止策だ。国内で大量の被害を出しているGumblar/8080系だが、攻撃は日本国内で行われているわけではない。自動化された改ざんプログラムが、盗み取ったFTP情報を使って国外から不正アクセスを試みている。国外からのFTPアクセスを禁止しておけば、FTP情報を盗んでもアクセスできず、改ざんされるのを防ぐことができる。
【FTPパスワードのリセット】
今回、サムライファクトリーが実施するFTPパスワードのリセットは、改ざん防止策に挙げたFTPのパスワードの変更を、全ての顧客に対して強制的に実行させるもの。攻撃者の手に渡ってしまった同社のユーザーのパスワードを、全て無効にしてしまおうという措置だ。
海外では先ごろ、世界初のドメイン登録業者としても知られるNetwork Solutionsが別の種類の大規模改ざんを受け、ブログの全パスワードをリセットしたようだが、この手の大規模な仕切り直しは内外ともに珍しい。多少の混乱は避けられないだろうが、FTPパスワードが悪用されているGumblar/8080系のサイト改ざんには、大きな効果が期待できる。
ただし、ユーザーが元のパスワードに戻してしまったり、感染パソコンで操作してしまうと、せっかくの措置が水の泡になってしまう。ユーザーは、これを機にサイトの改ざんチェックとウイルススキャンを実行し、クリーンなパソコンで仕切り直していただきたい。
【FTP接続禁止】
Gumblar/8080系では、通信を盗聴してFTPの接続情報を盗み取る。FTPはログイン時のパスワードを暗号化せずにそのまま送ってしまうため、通信を傍受されると簡単に盗み取られてしまうのだ。FTPSは、通信の暗号化に対応したFTPで、盗聴による盗み取りを防ぐことができる。
8080系に関しては、パソコン内に保存された設定情報の盗み取りも行われる。こちらは、通信の暗号化では防ぐことができないので、パスワードを保存しないといった、別の方法で対処する。
(2010/05/31 ネットセキュリティニュース)
【関連URL】
・コンピューターウィルス感染対策についてのお知らせ(サムライファクトリー)
http://www.ninja.co.jp/information/#938
・So-net U-Page+ FTPアクセス制限の実施について(ソネットエンタテインメント)
http://www.so-net.ne.jp/access/osirase/Upp20100216.html