Gumblarでは、Webサイトにコンテンツをアップロードする際に使うFTPのIDとパスワードが盗まれることが大きな問題になっている。Gumblarの攻撃によりPCなどに侵入したウイルスは、そのパソコンからのFTP通信を盗み見たり、パソコン内の登録情報からIDとパスワードを盗み出す。この盗み出した情報を悪用し、正規のWebサイトに新たなGumblarが埋め込まれたり、大事な情報が盗み出されたりする可能性があるからだ。
ファイル転送に使うパスワードを盗んで悪用
こうしたID/パスワード盗用に対して一般に推奨される対策は、コンテンツのアップロードの際に、(1)IPアドレスによる接続元制限と、(2)FTPの利用せず暗号化通信--を使うというものである。
このうち、(1)のIPアドレスによる接続元制限は、最近のGumblarの流行を受け月額費用数百円程度のホスティングサービスでも利用できるようになってきた。もし利用中のホスティングサービスがIPアドレスによる接続元制限に対応していない場合は、別のサービスに変更することも検討するとよいだろう。
(2)のFTPの利用をやめるという対策もよく言われる。その際に、Gumblarが狙うFTPクライアントとしてFFFTPを指摘し、代替え策としてWinSCPによるファイルの暗号化通信を推奨している場合がある。だが、2010年2月3日にJPCERTコーディネーションセンター(JPCERT/CC)が公開した「JPCERT FTP アカウント情報を盗むマルウエアに関する注意喚起」によると、Gumblarによる悪用が報告されているのはFFFTPだけではない(図21)。
- ALFTP 5.2 beta1
- BulletPloof FTP Client 2009.72.0.64
- EmFTP 2.02.2
- FFFTP 1.96d
- FileZilla 3.3.1
- FlashFXP 3.6
- Frigate 3.36
- FTP Commander 8
- FTP Navigator 7.77
- FTP Now 2.6.93
- FTP Rush 1.1b
- SmartFTP 4.0.1072.0
- Total Commander 7.50a
- UltraFXP 1.07
- WinSCP 4.2.5
つまり、FFFTPはたまたま日本での利用ユーザーが多かったことから、GumblarによるFTPパスワード盗難被害のターゲットとして取り上げられただけで、FFFTPに原因があったわけではない。FFFTP以外のファイル転送ツールでも、FTPのIDやパスワードが盗まれる被害に遭っている。代替策として取り上げられたことがあるWinSCPも、Gumblarのターゲットとなっているソフトの一つである。
つまり、FFFTPだろうとWinSCPだろうと、ファイル転送のIDとパスワードを、INIファイルやレジストリなどの形でPC内に書き込んで保存している限り、Gumblarに盗まれてしまう可能性がある。たとえ、レジストリ内に暗号化して書き込んでいようが、その値をそのままコピーされて他のPCに取り込まれてしまえば、暗号化されたままパスワードは盗まれてしまう。
パスワードを保存せずに接続制限と併用するのが有効
この対策としては、ファイル転送のIDとパスワードを、面倒でもPCに保存しないようにすべきである。そのうえで、さらにIDとパスワードが盗まれても、外部からWeb改ざんができないようにIPアドレスによる接続制限したり、VPN接続のみにアクセス制限するなど、多段のセキュリティをかけるしかないと筆者は考える。
具体的には、SSL-VPNやIPsecなどでVPN接続した場合にだけWebコンテンツを更新できないようにする。さらに、物理媒体を使ったトークンや証明書を組み合わせるようにすると、たとえ何らかの手段でIDとパスワードが盗まれた場合でも、Webが改ざん侵入されないような対策となるのでベストである。
とはいえ、それでも汚染されたWebコンテンツを自らアップロードしてしまうというケースを防ぐことはできない。やはり、前回の記事で紹介した手段で、アップロード前にWebコンテンツの安全性は別途確認しておく必要がある。