何がヤバいの?
今、巷で流行ってる Gumblar (ガンブラー)
その中の一部のウイルスにWEBサイトを管理するために広く使用されているFFFTPというツールが持つWEBサイトへの接続情報を取得するものが現れました。
端的に言うと直接誰かの家に泥棒に入るのではなくその家の鍵を持ってる人をだまして鍵を奪いその鍵を使って何食わぬ顔して家に入っちゃおうって作戦。
そんな事が今まさに起きてます。
※下記を参照
smilebanana
UnderForge of Lack
多分、この記事を見られている方の中にもレンタルサーバーを借りて自分でサイトを運営されている方も居られると思います。
もしFFFTPを使用されているなら至急何らかの対応を図ることをおすすめします。
もちろんGumblar (ガンブラー)等で偽装サイトに誘導されたりして変なウイルスを自分のPCで動かさなければ大丈夫なんですが・・・・
でも用心するに越したことはないですよね。
ちなみにGumblar (ガンブラー)とは特定のウイルスの名前ではなく別サイトに誘導してウイルスに感染させる攻撃手法のことです。
対処方法 どうしたらいいの?
もしFFFTPを使用して何処かのサイトの管理を行っているならFFFTP以外のFTPソフトを使用する。
その場合、FFFTPを削除してから他のソフトを使用してくださいね。
※削除の仕方は作者ページへ(真ん中辺りの”注意事項”参照)
もしFFFTPを使い続けたいのならセキュリティーが強化されたFFFTPを使用する。
※此処にありますよ。 → にょろぷにらん・FFFTPパスワード漏れ対処版作ってみた
その他にはSSLを使用した通信が出来るクライアントソフトを使用する。例えばWinSCP等。
そして接続情報(ユーザー/パスワード)を接続ソフト側で保存しない。
面倒でも毎回、ユーザー/パスワードは入力する。
でもSSLに対応していないレンタルサーバーって沢山あるので実際には最初の二つが有効な対応策になるかと思います。
さらに、
FFFTPではその接続情報をレジストリに保存します。
そのレジストリ情報をウイルスは取得して管理しているサイトに接続するのですが。(正確にはもう少し複雑な手順を実行)
先の削除手順を実行すれば基本、レジストリ情報も削除されますが完璧をきす為にこのレジストリ情報を削除するツールもFFFTPの作者の方が公開されています。
FFFTPのレジストリ消去ツール ffftp_reg_cleaner.exe
これを使って綺麗に消せばとりあえずFFFTPを介した感染は防げるかと。
とにかく用心には用心を。
みんな気をつけましょうね。
※実際にはGumblarは他のソフトのセキュリティーホールを突いてウイルスを感染させようとします。その辺の話も今度書いてみます。
関連記事
脆弱性情報
FFFTPに注意! 作者がGumblar対策を喚起 – すでにFFFTPに対する攻撃報告 …
Sota’s Web Page (GumblarによるFFFTPへの攻撃について)
窓の杜 – 【NEWS】「FFFTP」のパスワードが“Gumblar”ウイルスにより …
コメント
> あっしー くん
もう一つのサイトの方にGumblar予防の話をまとめてみました。
あっしーでございます。
コレは知らなかった。情報ありがとうございます。
FFFTP、WinSCP共使ってないので大丈夫なのかしら?
(古いDreamweaverでやってます)
Acrobatが危険なら、Readerの自動更新もマズいんでしょうね。
Readerなんかは、勝手に更新されるのやめてほしいですよね。
仕事先で先日Reader Ver.9になったのですが、起動するだけで重くて重くて…
自分でもいろいろ調べてみます。
ありがとうございました。
> Micheal さん
僕もFFFTP と WinSCP 両方使ってますので他人事ではなくて。
実際にはAdbe Acrobatなどのツールからの感染が殆どなのですがとりあえずそういった自動更新されるアプリではないFFFTPの脆弱性を上げてみました。
うわあ、これは有難い情報です。
FFFTP と WinSCP 両方使ってますが、
お勧めに従い早急に対策をとってみたいと
思います。ありがとうございました。