Webサイト改竄

2010/2/8

今更ながらWebサイト改竄、及びサイト感染型ウイルスについてです。
初めは詳しい技術情報や、自分なりに色々と検証してみたことを書こうと思っていましたが、時間が経った今ではもう不要でしょう。
ここではこれらのことから思ったこと、考えたことを書こうと思います。


昨年末から、年始にかけてJR東日本やローソンといった大手企業が被害を受けており、各報道機関でも広く取り上げられていましたが、情報が錯綜しているようで誤った情報も多く見受けられます。
そもそもこの類のマルウェアはもっと前から存在していたわけで、それほどセキュリティ対策への関心の薄さを改めて感じました。
(もちろん悪意を持ったマルウェアの製作者が第一に悪いわけではありますが)

Gumblar、及びその他の亜種(ここではGumbalr, Gumblar.x系, 8080系/.cn/.ruを指す)はサイト感染/改竄ウイルスということで、通常皆さんが意識するウイルスとは少し異なるため、ご存知の方も少なかったかと思います。
また、感染サイトを見ると、ドライブバイダウンロードで感染するため、よくある「メールの添付ファイルを開いた」「ダウンロードした不審な実行ファイルを実行した」といったようにユーザーの故意の操作ではないため、なかなか気づきにくいということもあります。

GumblarはFTPアカウント情報を攻撃者へ送信して、感染者の管理しているサイトを改竄されて感染が拡大するマルウェアです。
現在では、特に専門的な知識といったこともあまり必要無く、Webサイトを運営することができる時代です。
操作も容易になり便利になって行く半面、仕組みを理解しておらず危険性の認識を薄める原因でもあります。
(それが悪いと批判しているわけではありません。)
そういったことも考えると、Gumblarの感染経路は現在のインターネット社会にとって非常に有効な方法と言えるでしょう(言い方が変ですが)

 

ネットサーフィンして情報収集していて思ったことが一つあります。
日本で最も多く使われているであろうFFFTPのアカウントがGumblarによって盗まれているということです。
このことに関しては、当初「FFFTPは危険だから使うな。別のにしよう」といった情報が中心でしたが、実際にはFFFTPに限らず多くのFTPクライアントソフトが狙われていることが分かりました。(↓参考)

  • ALFTP 5.2 beta1
  • BulletPloof FTP Client 2009.72.0.64
  • EmFTP 2.02.2
  • FFFTP 1.96d
  • FileZilla 3.3.1
  • FlashFXP 3.6
  • Frigate 3.36
  • FTP Commander 8
  • FTP Navigator 7.77
  • FTP Now 2.6.93
  • FTP Rush 1.1b
  • SmartFTP 4.0.1072.0
  • Total Commander 7.50a
  • UltraFXP 1.07
  • WinSCP 4.2.5
  • Internet Explorer 6
  • Opera 10.10

FFFTPに関しては、有志によるGumblar対策版(マスターパスワード仕様)が公開され、FFFTP作者の方でもそれらを取り入れバージョンアップにて対応したようです。
しかし、所詮は平文による通信だから・・・ねぇ・・・。
まぁ、直にぶっこ抜かれるよりましでしょ、ってことで。
私はWinSCPを使っているのですが…ゲ、リストに載ってんじゃんとか思いきや、FTPではなくSFTP(SSH)なので…大丈夫かな?

とまぁ、だいぶ話がずれましたけど、何が言いたいかっていうと
あのソフトはダメ!、これも危険だからアンインスコ!ではなく、その前にお前が感染すんなよと。
JavaScriptとか、Adobe Flash Playerとか、もうWeb標準みたいになっているものは、なかなか排除するのは難しい。
ユーザーが対策をするといえば、修正を待つか、無効にすることぐらいしかできない。
でも、FFFTPとかっていうのは、ユーザー自身が自分のために利用させてもらっているのではないか。
しかも無料で、作者の厚意で。
それで今までいい顔して利用してきて今更になってから「なんだよアブネェじゃねぇか」って捨てるのはどうも心無いと私は感じる。
もちろん、感染して、改竄されて被害を広げてしまったら元も子もないが、自分自身が何も対策せずにただただソフトのせいにするのがどうかと思った。
そんな中、対策版を製作した方は非常に素晴らしい方と思う。尊敬する。

ふ~、としみじみと思ったりね(* ^ー゚)


参考:UnderForge of Lack
窓の杜:ウイルス感染したPCにおける保存パスワードの窃取問題へ対策した「FFFTP」v1.97