• X
  • Facebook
  • RSS

ガンブラーとFTPとの関係って?知っておきたい「Gumblar対策」


■「ガンブラー(Gumblar)」って何?

そもそも「ガンブラー」とは、一体何なのでしょうか?

「Gumblarの手口を知り、対策を」IPAが注意喚起 -INTERNET Watch
情報処理推進機構:プレス発表:記事
「ガンブラー」は手口の名前、感染するウイルスはさまざま - ニュース:ITpro
ASCII.jp:猛威が止まらない!ガンブラー総まとめ

<ガンブラーは“PCをウイルス感染させる手口”、感染するウイルスの種類は様々>
国民に対してセキュリティに関する情報提供を行い、届出や相談を受け付けている情報処理推進機構(IPA)によれば、ガンブラーとは「Webサイトの改ざんとWeb感染型のウイルスを組み合わせて、多数のPCをウイルスに感染させようとする手口」とされており、この手口によって感染させられる可能性のあるウイルスの種類は様々です。

この手口によって、ユーザーが以下のような危険にさらされる可能性があります。

  • セキュリティ対策が不十分なパソコンでは、ウェブサイトを閲覧するだけでウイルスに感染させられてしまう上、ウイルスに感染したことが見た目には全く分からない場合がある
  • 有名企業のウェブサイトが攻撃に使われる場合もあり、「不審なウェブサイトを閲覧しない」 といった回避策が必ずしも有効とならない。
  • 感染させられるウイルスは特定のものではなく、攻撃者がコントロールできるため、どのようなウイルスに感染させられるかが分からない 。

そこでIPAでは、ガンブラー被害を防ぐためユーザーに対し次のような対策を求めています。

「ガンブラーによるウイルス感染への対策」


1.脆弱性の解消
Web感染型ウイルスはPCの脆弱性を悪用して侵入するため、OSやブラウザ、各種アプリケーションソフトなど、PCにインストールしているソフトはできる限り全て最新版に更新し、脆弱性を解消しましょう。また、特にウイルスに狙われることが多いAdobe Flash Playerなどのソフトについては注意が必要です。IPAでは、これらのソフトが最新版になっているかどうかのチェックができる「MyJVN バージョンチェッカ」というツールも公開されています。

2.ウイルス対策ソフトの導入
ウイルス対策ソフトは万能ではないものの、重要な対策の1つです。導入するとともに、ウイルス定義ファイルを最新に保つことも重要。特にガンブラーなどに対しては、危険なWebサイトを閲覧しようとした時にブロックする機能などを備える「統合型」と呼ばれる製品が推奨されます。

3.ゼロデイ攻撃への対策
脆弱性が発見されてから、その修正プログラムが公開されるまでの期間を狙った「ゼロデイ攻撃」については、ベンダーやIPAなどが発信する情報を確認するとともに、できる限りの回避策を取りましょう。

4.ウイルスに感染したら?
ウイルスに感染してしまった、あるいは感染しているか不安な場合に取りうる手段は、ウイルス対策ソフトによる検査と駆除です。対策ソフトが発見できない、未知のウイルスに感染したとしても、数日後にウイルス対策ソフト側が対応し、発見できるようになる可能性があります。 ただ明らかに動作がおかしく、ウイルス対策ソフトによるウイルスの発見や駆除ができないような場合に確実にウイルスを除去する最終的な手段としては、パソコンの初期化を行うしかありません。

上記の内容について、詳しくはこちらのPDFにまとめられています。

■FTPクライアントとの関係性は?

最近よく耳にするのが、ガンブラーによって、サーバにファイルをアップロードする際に利用する「FTPクライアント」のアカウント情報が盗まれるという話題。続いては、ガンブラーとFTPクライアントとの関係について見ていきましょう。

<FTPはログイン時にパスワードが暗号化されないため、アカウント情報が盗まれる可能性が>
保存したパスワードを盗むウイルスに注意、「ガンブラー」で感染 - ニュース:ITpro
「Web制作者が覚えておくべきガンブラーの基礎知識と対策-前編」 by. 野本幹彦 - MdN Design Interactive - Webデザインとグラフィックの総合情報サイト
セキュリティ通信|セキュリティ関連ニュース ガンブラー攻撃の対象ソフトをJPCERTが確認〜アカウント情報盗み外部送信
ガンブラーの手口でWebサイトを改ざんしようとする攻撃者にとっては、まずそのサイトの「管理用アカウント情報」を得る必要があります。そこでターゲットとなるのが、一般的に使われることが多い「FTPクライアント」のアカウント情報。FTPはその仕組み上、クライアントとサーバが通信する際にパスワードが暗号化されないため、アカウント情報が簡単に盗まれてしまう可能性があります。

インターネットを介して発生する侵入やサービス妨害などについて、情報収集や対策支援を行っているJPCERTコーディネーションセンター では、アカウント窃取の対象となるFTPクライアントとして、以下のリストを公開しています。

  • ALFTP 5.2 beta1
  • BulletPloof FTP Client 2009.72.0.64
  • EmFTP 2.02.2
  • FFFTP 1.96d
  • FileZilla 3.3.1
  • FlashFXP 3.6
  • Frigate 3.36
  • FTP Commander 8
  • FTP Navigator 7.77
  • FTP Now 2.6.93
  • FTP Rush 1.1b
  • SmartFTP 4.0.1072.0
  • Total Commander 7.50a
  • UltraFXP 1.07
  • WinSCP 4.2.5

上記のほか、WebブラウザのInternet Explorer 6やOpera 10.10に保存されているアカウント情報についても、盗まれる可能性があるとのことです。
FTP アカウント情報を盗むマルウエアに関する注意喚起

■アカウント情報を守るには?

ではFTPクライアントのアカウント情報を盗まれないためには、どんな対策が必要なのでしょうか?

<まずは根本的なガンブラー対策を。FTPよりもSFTPやFTPSを使おう>
FTP の危険性に関して超簡単まとめ | WWW WATCH
こちらのエントリーでは、対策として以下のポイントを挙げています。

  • 最も重要なのは、根本的なガンブラー対策。
  • 「パスワードをPCに保存しない」 は解決策にならない。
  • サーバとの通信時に暗号化が行われるSFTPやFTPSを使う。

まず何より重要なのは、先ほどもご紹介したガンブラーに対する根本的な対策です。そして「パスワードをPCに保存しなければ大丈夫」と思いがちですが、FTPで接続する以上はサーバ間の通信時に情報を盗まれる可能性があるため、解決策にはなりません。

またサーバにファイルをアップロードする際は、サーバとの通信時に暗号化が行われるSFTPやFTPSを使うようにします。上記のエントリーでは、オススメのSFTP/FTPS対応クライアントや、利用可能なレンタルサーバも紹介されています。またパスワードの他に鍵認証を利用できるSCP対応のクライアントを使えば、より安全性が高まります。ただしこれらのクライアントを使った場合でも、パスワードや鍵ファイルが漏洩する可能性が完全に無くなる訳ではないので、引き続き充分注意しましょう。

<どうしてもFTPを使う必要がある場合はどうする?>
Sota’s Web Page (GumblarによるFFFTPへの攻撃について)
窓の杜 - 【NEWS】“Gumblar”問題を受け、「FFFTP」のレジストリ設定を削除するツールが公開
どうしてもFTPを使う必要がある時には、必要な時だけ1回限りのパスワードを発行し、作業が終わったらFTPアカウントを無効にするといった対策があります。また代表的なFTPクライアントである「FFFTP」の作者による「FFFTPのレジストリ消去ツール」も公開されています。レジストリエディタを操作するよりも、安全に設定を消去することができます。

にょろぷにらん | FFFTPパスワード漏れ対処版作ってみた
またこちらは、有志によって作られた「FFFTPパスワード漏れ対処版」。従来の「FFFTP」にFTP接続パスワードなどの設定を保護する“マスターパスワード”機能が追加されているので、FTP接続パスワードを保存した場合の安全性が向上しています。


2009年の春頃から猛威を奮っている「ガンブラー」による被害。まずはソフトの更新やウイルス対策ソフトの導入など、根本的な対策をしたいですね。また普段FTPを利用している人は、SFTPやFTPS、SCPへの切り替えが可能かどうかをチェックしてみて下さい。


Title Photo by William Hook

文: 飯塚朋子

関連エントリー