SecurityFFFTP,Gumblar,JPCERT,マルウェア

https://www.jpcert.or.jp/at/2010/at100005.txt
https://forest.watch.impress.co.jp/docs/news/346673.html

FFFTPから端を発したGumblarなどのマルウェアからFTPのパスワードが盗み取られてしまう問題について、JPCERTが、実際にマルウェアからアカウント情報が盗み取られてしまうことが確認されたFTPクライアントソフトについて、その一覧を公開しました。
盗み取られてしまうとされたソフトウェアについては以下の通り。

「ALFTP」v5.2 beta1
「BulletPloof FTP Client」v2009.72.0.64
「EmFTP」v2.02.2
「FFFTP」v1.96d
「FileZilla」v3.3.1
「FlashFXP」v3.6
「Frigate」v3.36
「FTP Commander」v8
「FTP Navigator」v7.77
「FTP Now」v2.6.93
「FTP Rush」v1.1b
「SmartFTP」v4.0.1072.0
「Total Commander」v7.50a
「UltraFXP」v1.07
「WinSCP」v4.2.5
「Internet Explorer」v6
「Opera」v10.10

http://www.forest.impress.co.jp/docs/news/20100203_346673.html

対策済みのツールやこれら以外のツールについて使用している場合についても、WindowsやAdobe製品などからの観戦も考えられるので、しっかりと対策済みのバージョンをインストールするようにしましょう。また、マスターパスワードが設定できるものについても、その対策は有効とされていますので、増すわーパスワードが設定できるものを導入できると尚良いでしょう。

SecurityFFFTP,Gumblar

https://forest.watch.impress.co.jp/docs/news/346309.html
http://www2.biglobe.ne.jp/~sota/ffftp-vulnerability.html

昨日お伝えした「FFFTP」で保管しているFTPのパスワードが抜き取られる問題で、作者様のページに、該当レジストリを削除するツールが公開されました。基本的にインストーラ版は自動的に削除されるとのことで、アーカイブ版で導入した方が対象のようです。

また今回の問題に絡み「FFFTP」パスワード対処版を有志の方が作成されたようです。マスターパスワードを登録することで、保管されているパスワードの難読化を行うもののようです。気になる方は導入してみてはいかがでしょうか?

http://mag.matrix.jp/mag/queen/log/soft/eid743.html

また、今回の問題については、使用するFTPクライアントを変更することが問題の根本的な対処方法ではなく、FTP通信自体が盗聴されることもあるので、可能な限りSFTPやFTPSといった暗号化通信を行うプロトコルを利用しているものを選択するようにしましょう。また、保管されるパスワード自体も難読化が施せるものにしましょう。

https://security.srad.jp/story/10/02/01/0219259/

SecurityFFFTP,Gumblar,ウィルス

https://forest.watch.impress.co.jp/docs/news/346056.html
http://www2.biglobe.ne.jp/~sota/ffftp-vulnerability.html

UnderForge of Lack ≫ Blog Archive ≫ [Hammmer and Anvil] 夜間便 /
http://www3.atword.jp/gnome/2010/01/28/hammmer-and-anvil-a-blacksmith-in-the-dark/

国内では定番なFTPソフト「FFFTP」ですが、ソフトウェア作者によると最近流行している"Gumblar"ウィルスによって、FFFTPが管理しているパスワードが抜き取られる事例が多発しているとの報告があったようです。

同氏は、接続先のFTPサーバーがSSLなどに対応している場合、「FFFTP」はSSL非対応のためSSL接続対応のFTPクライアントソフトへ乗り換え、「FFFTP」をアンインストールすることを推奨している。
また、「FFFTP」はパスワードをレジストリに保存しており、ウイルスはこのレジストリからパスワードを抜き取っている模様とのこと。同氏によると「FFFTP」をWindowsのコントロールパネルからアンインストールした場合はこのレジストリは削除されるという。

http://www.forest.impress.co.jp/docs/news/20100130_346056.html

FFFTPがオープンソースであるために、パスワードの暗号化自体が解析されてしまっているために、それを使用して暗号化されていたはずのパスワードを抜き取っているとのことです。

リンク先にあるように、SFTPやFTPSを実装しているWinSCPやFileZillaに切り替えた方が良いと思われます。

このようなウィルスに感染した場合、被害者であると同時に加害者になってしまうため多大な損害が出ますし、何より周囲への影響が大きくなってしまうのを防ぐ意味でも他のFTPクライアントソフトに乗り換えるのが良いのではないでしょうか?