Gumblar(ガンブラー)にガブられないために取るべき鉄則

間違いだらけのガンブラー対策

2009年末から2010年にかけて大手企業のWebサイトがGumblar(ガンブラー)の標的となり、改ざんされる事件が相次いでいる。(以下、8080と呼ばれるGumblarの亜種も含め、同じ攻撃パターンを持つマルウェアを便宜上Gumblarと呼ぶことにする)

ガンブラーがこれほどまでに蔓延してしまった理由として、多くの大手企業のウェブサイトが改ざんされたことにある。ユーザがガンブラーに感染したサイトを閲覧すると、悪意のあるWebサイトにリダイレクトされ、PCにウイルスがダウンロードされてしまう。

マルウェアに感染するとFTPアカウントが盗まれ、管理するウェブサイトにガンブラーが仕込まれ、さらにそのサイトの訪問者を感染させてしまうことになる。そのため、ウェブサイト運営者は最新の注意を払って運営する必要がある。

これまでのマルウェアと違うガンブラーの特徴は、直接的にWebサーバが攻撃対象になっていないことだ。Webサーバのセキュリティホールが突かれて改ざんされるのではなく、あくまでクライアントPCのセキュリティホールが利用され、FTPサーバのアカウント情報を盗み、正規ユーザになりすまし正面から改ざんをはたらくというものだ。


ウェブサイト運営者が行うべき対策は、まずガンブラー感染を予防する対策、これは一般のユーザが行う対策と同じだ。基本的なガンブラー対策は、知ってのとおり Windows Updateを行いOSを最新の状態にすること、Adobe Reader やJRE等のアプリケーションをアップデートすること、ウイルス対策ソフトを使用することだ。「これだけはやっておきたいGumblar(ガンブラー)対策」を参照していただきたい。

これにくわえ、ファイル転送のリスクに対する対策、そして、万が一感染してしまった場合に感染を拡大させない対策、以上、三つの対策を実施することがウェブサイト管理者が取るべき対応となる。

FFFTPの問題が露呈してから誤った情報が一人歩きし、FTPソフトの脆弱性が問題だと勘違いしている人もいる。FTPソフトを変えればいいという問題ではないのである。さまざまな情報が錯綜しているため、GUMBLAR(ガンブラー)対策として、いったい何が正しいのかわからなくなっている人も少なくない。

そこで本稿では主にウェブマスターを対象に、ファイル転送に関するトピックを中心にまとめてみたい。

ファイル転送を行うリスクに対する対策

一般的にはホームページのコンテンツは、FTPを使ってアップロードされることが多い。しかし、FTPはパスワードやファイルを暗号化せずに送受信するため、ネットワーク上を流れる情報を盗聴などにより盗むことが可能だ。つまり、FTPサーバに接続するためのID、パスワードですら傍受され搾取される可能性がある。そしてガンブラーはネットワーク盗聴を行いFTPアカウントを盗むのである。したがって可能な限り、FTPは使わないことが望ましい。

これに対する回避策は、FTPSやSFTPといったプロトコルを用いることだ。そうすれば、ネットワーク盗聴によるアカウント搾取を防ぐことができる。

しかし、8080系と呼ばれるガンブラーの亜種はファイル転送ソフトがローカルPCに保存しているアカウント情報を盗むことでも知られている。ファイル転送ソフトがレジストリに保存しているアカウントでさえ読み取るものが出てきている。これがFFFTPという日本でメジャーなFTPソフトで発覚したものだから、危機感を感じている人は少なくない。

ファイル転送ソフトが暗号化して保存していたとしても、サーバと通信する際に元のパスワードに戻さなければならないため、可逆的な状態で保存されている。そこが弱みになりがちで、現にFFFTPは平文ではない状態で保存しているにも関わらず、オープンソースであるが故か解読されてしまっている。

そのほか、JPCERTコーディネーションセンターの発表でも、以下のFTPクライアントでアカウント窃取、外部サーバへのアカウント情報送信が確認されている。

　- ALFTP 5.2 beta1
　- BulletPloof FTP Client 2009.72.0.64
　- EmFTP 2.02.2
　- FFFTP 1.96d
　- FileZilla 3.3.1
　- FlashFXP 3.6
　- Frigate 3.36
　- FTP Commander 8
　- FTP Navigator 7.77
　- FTP Now 2.6.93
　- FTP Rush 1.1b
　- SmartFTP 4.0.1072.0
　- Total Commander 7.50a
　- UltraFXP 1.07
　- WinSCP 4.2.5

上記に加えて、以下の Web ブラウザのアカウント管理機能を用いて保存されている情報も、同様にアカウント情報が窃取されている。

　- Microsoft社 Internet Explorer 6
(Internet Explore 7 および 8 ではアカウント窃取は確認されておりません)
　- Opera社 Opera 10.10

上記に載っていないから安全だと考えるのも早計だ。当然、攻撃の対象となるソフトウエアが増えたり、使用される脆弱性が変化したりする可能性がある。


これに対する当面の回避策は、パスワードをPCに保存しないことである。

以上のことから

●FTPは使わない → FTPS、SFTP、SCPを使う
通信を暗号化しないFTPはネットワーク盗聴によりアカウント情報が盗まれる恐れがある。

●FTPS、SFTP、SCP接続であってもパスワードは保存しない
パスワードが暗号化されていても、ローカルに保存されたパスワードを窃取される恐れがある。


ファイル転送ソフトとプロトコル対応表

	FTP	SFTP (SSH File Transfer Protocol)	FTPS (FTP over SSL/TLS)	SCP	備考
FFFTP	○	×	×	×
WinSCP	〇	〇	×	〇
FileZilla(※1)	〇	〇	〇
ALFTP	〇	〇	×	×
NextFTP	〇	×	〇	×
EmFTP	〇	〇	×
SmartFTP	〇	〇(※2)	〇

(2010年2月5日更新、○は対応、×は非対応、空欄は調査中)

※1 FileZilla はパスワードをXMLに平文で保存しているため、パスワードは保存しないこと。
※2 SFTP over SSH は Professional Edition のみ対応

しかし、FTP以外のプロトコルには対応していないレンタルサーバもある。その場合は可能であればサーバの移転も検討したい。

レンタルサーバとプロトコル対応表

	FTP	SFTP (SSH File Transfer Protocol)	FTPS (FTP over SSL/TLS)	SCP
さくらインターネット	〇	〇(※1)	〇(※3)	〇(※1)
ロリポップ lolipop	〇	×	〇	×
チカッパ chicappa	〇	×	〇	×
ヘテムル heteml	〇	〇	〇	〇
XREA	〇	×	〇	×
コアサーバ	〇	△(※2)	〇	△(※2)
ハッスルサーバ	〇	×	×	×
エックスサーバ	〇	×	〇	×

(2010年2月18日更新、○は対応、×は非対応。4n5さん情報提供感謝)

(※1) SSH、sftpについては、サービスの申し込み時に設定された初期ドメイン名のみ利用可能。
(※2) 管理画面の「ホスト情報登録」から「SSH登録」をすることで可能になる。SSH登録すると、30日間、同じIPアドレスからの接続が許可される。ただし30日を越えると接続できなくなるので、再度登録しなおす必要がある。
(※3) 2010年2月16日から FTPSにも対応。

GUMBLAR(ガンブラー)拡散への対策

GUMBLAR(ガンブラー)に万が一感染してしまった際に、ホームページの改ざんを防ぐ対策として、サーバへの接続制限がある。

アカウントが盗まれてしまうと、次のアクションとしてはFTPで接続されコンテンツの改ざんが行われる。それを防ぐ手立てとしては、サーバへの接続制限をかける方法がある。いわゆる水際対策である。

その一つが、.ftpaccessによるIPアドレス接続制限だ。ただし、この施策が打てるのは固定IPアドレス環境があり、接続するIPアドレスを限定できる場合に限る。

.ftpaccess が使えるレンタルサーバ

	.ftpaccessファイルによるIPアドレス接続制限
さくらインターネット	○(※1)
ロリポップ lolipop	〇
チカッパ chicappa	〇
ヘテムル heteml	〇
XREA	〇
コアサーバ	〇
ハッスルサーバ	×
エックスサーバ	○

(2010年5月6日更新、○は対応、×は非対応)
(※1) 2010年2月16日から、ビジネス、ビジネスプロ、マネージドサーバに加え、ライト、スタンダード、プレミアムにも拡大。エックスサーバーは2010年5月6日から。

■プロトコルの簡単な説明

SFTP (SSH File Transfer Protocol)
SSHの仕組みを使ったファイル転送。SSH2サブシステムとして使用される。通常はポート22/tcpを使用する。シェルにアクセスする必要がないのがSCPとの違い

FTPS (FTP over SSL/TLS)
FTPで送受信するデータをSSLまたはTLSで暗号化するプロトコル。認証コマンド(AUTHコマンド)実行後に暗号化通信を開始するExplicitモードと、FTPSサーバ接続開始時点から暗号化通信を開始するImplicitモードがある。ExplicitモードをFTPESと呼ぶことがある。

SCP (Secure Copy Protocol)
SSH1でシェルコマンドを使用するファイル転送のこと。転送は高速だが、転送レジューム機能や転送取り消しに対応していない。通常はポート22/tcpを使用する。

■関連サイト

ファイル転送にはSCPやSFTPを使いましょう − ＠IT

暗号化通信により安全にファイルを転送できるFTPS/SFTP/FTPクライアント「FileZilla」 - SourceForge.JP Magazine

XREAでも暗号化SFTPサーバーを利用しよう

Windows環境でのSSHの利用とSSH鍵の作成 - SourceForge.JP Magazine

ProFTPDでFTPSを使えるようにする

10 FTP Clients Malware Steals Credentials From | Unmask Parasites. Blog.


窓の杜 - 【NEWS】ウイルス感染したPCにおける保存パスワードの窃取問題へ対策した「FFFTP」v1.97
マスターパスワード機能を追加、暗号化方式に“AES”を採用して暗号強度を向上

Sota's Web Page (GumblarによるFFFTPへの攻撃について)
FFFTPのレジストリ消去ツールはここ

にょろぷにらん | FFFTPパスワード漏れ対処版作ってみた

FFFTPでFTP over SSLしよう

今となってはFTPは使わない方が無難


Gumblar(ガンブラー) ウイルスに関する情報 - ITNAVI.net

・Gumblar.x と 8080系 は攻撃する脆弱性が違う
・8080系はAdobe Reader と Java JRE の脆弱性を突く
・8080系は日本をターゲットとしているようだ
・Gumblar.xでも8080でもない、まったく別の種類の改ざんが行われていたケースも見つかっている
・「9.3」では、8080で悪用されている脆弱性が修正されているほか、これとは別の深刻な脆弱性も複数修正されている
・Adobe Reader の脆弱性はサイト改ざん攻撃だけでなく、細工したPDFファイルをメールに添付して送りつけるといった形でも悪用されている
・亜種が登場するスピードが速いため、パターンファイル方式での検知および駆除が難しくなっている
・しかも感染の検出は極めて困難である
・サイト管理者はFTPサーバにアクセスできるIPアドレスを制限するべき。アクセス制限がかけられない場合はFTPSやSFTP・SCPの利用を検討したい。
・Windows のスタートアップに「siszyd32.exe」や「TMD.tmp」「TM6.tmp」を登録されていたら、感染している可能性が高い(msconfigで確認できる)

• ウイルス対策ソフトの必要性
  
• 何を選んだらいいのか？
  
• 価格で選ぶならウイルスセキュリティ 1台用1,980円に値下げ！
  
  • ウイルスセキュリティZEROをインストールしてみた
    
  • スーパーセキュリティZERO は Bit Defender 搭載
    
• スキャン速度と検出性能で選ぶならNOD32
  
  • NOD32アンチウイルス 驚異の検知率！
    
  • 総合セキュリティソフト ESET Smart Security
    
• 世界シェアNo.1で選ぶならシマンテック・ノートン
  
• 使いやすさで選ぶならウイルスバスター
  
• トータルバランスで選ぶならマカフィーウイルススキャン
  
• 検出性能で選ぶ - ドイツの GData
  
• 検出性能で選ぶ - ロシアのカスペルスキー
  
• ウイルス対策ソフトの比較表
  
• Windows 7 対応状況
  
  • Windows Vista 対応状況
    
• 【番外】OSベンダーが提供する Microsoft Windows Live OneCare 販売終了
  
• ウイルス対策ソフト比較特集まとめ
  

• 知っておきたいGUMBLAR(ガンブラー)対策
  
• Gumblar(ガンブラー)にガブられないためにウェブ制作者が取るべき対策
  
• USBメモリからウィルスに感染しないために
  
• GENOウィルスに感染しないために
  
• 不正請求ポップアップの対処法
  

• 困ったときのサポートデスク
  
• 完全にアンインストールするツール一覧