Gumblar

セキュリティベンダーのラックが昨今流行しているGumblarについて、JavaScriptを埋め込まず「.htaccess」に悪意あるサイトに対してリダイレクトするように設定したものが出現しているようです。

一方、新タイプのGumblarは、Webサーバーに侵入してApacheの設定ファイル「.htaccess」の不正アップロードを行なう。.htaccessは、コンテンツへのアクセス制限やCGIの許可などを設定したファイルで、Gumblarの.htaccessには悪意あるWebサイトへリダイレクトする設定が記述されている。.htaccessによるリダイレクトはスクリプトを使わないため、JavaScriptを無効にしていても、悪意あるWebサイトにアクセスさせられてしまうわけだ。

https://ascii.jp/elem/000/000/504/504239/

【Webサーバ管理者の対策】
身に覚えのない.htaccessファイルが存在しないかを確認してください。FTP転送ログで.htaccessファイルがアップロードされていないかを確認するのも有効です。

https://www.lac.co.jp/lacwatch/alert/

今のところトップディレクトリに単発でアップロードされているだけのようなので、サイトを管理している方は是非チェックしてみてはいかがでしょうか。

FFFTPから端を発したGumblarなどのマルウェアからFTPのパスワードが盗み取られてしまう問題について、JPCERTが、実際にマルウェアからアカウント情報が盗み取られてしまうことが確認されたFTPクライアントソフトについて、その一覧を公開しました。
盗み取られてしまうとされたソフトウェアについては以下の通り。

「ALFTP」v5.2 beta1
「BulletPloof FTP Client」v2009.72.0.64
「EmFTP」v2.02.2
「FFFTP」v1.96d
「FileZilla」v3.3.1
「FlashFXP」v3.6
「Frigate」v3.36
「FTP Commander」v8
「FTP Navigator」v7.77
「FTP Now」v2.6.93
「FTP Rush」v1.1b
「SmartFTP」v4.0.1072.0
「Total Commander」v7.50a
「UltraFXP」v1.07
「WinSCP」v4.2.5
「Internet Explorer」v6
「Opera」v10.10

http://www.forest.impress.co.jp/docs/news/20100203_346673.html

対策済みのツールやこれら以外のツールについて使用している場合についても、WindowsやAdobe製品などからの観戦も考えられるので、しっかりと対策済みのバージョンをインストールするようにしましょう。また、マスターパスワードが設定できるものについても、その対策は有効とされていますので、増すわーパスワードが設定できるものを導入できると尚良いでしょう。

昨日お伝えした「FFFTP」で保管しているFTPのパスワードが抜き取られる問題で、作者様のページに、該当レジストリを削除するツールが公開されました。基本的にインストーラ版は自動的に削除されるとのことで、アーカイブ版で導入した方が対象のようです。

また今回の問題に絡み「FFFTP」パスワード対処版を有志の方が作成されたようです。マスターパスワードを登録することで、保管されているパスワードの難読化を行うもののようです。気になる方は導入してみてはいかがでしょうか？

また、今回の問題については、使用するFTPクライアントを変更することが問題の根本的な対処方法ではなく、FTP通信自体が盗聴されることもあるので、可能な限りSFTPやFTPSといった暗号化通信を行うプロトコルを利用しているものを選択するようにしましょう。また、保管されるパスワード自体も難読化が施せるものにしましょう。

UnderForge of Lack ≫ Blog Archive ≫ [Hammmer and Anvil] 夜間便 /
http://www3.atword.jp/gnome/2010/01/28/hammmer-and-anvil-a-blacksmith-in-the-dark/

国内では定番なFTPソフト「FFFTP」ですが、ソフトウェア作者によると最近流行している"Gumblar"ウィルスによって、FFFTPが管理しているパスワードが抜き取られる事例が多発しているとの報告があったようです。

同氏は、接続先のFTPサーバーがSSLなどに対応している場合、「FFFTP」はSSL非対応のためSSL接続対応のFTPクライアントソフトへ乗り換え、「FFFTP」をアンインストールすることを推奨している。
また、「FFFTP」はパスワードをレジストリに保存しており、ウイルスはこのレジストリからパスワードを抜き取っている模様とのこと。同氏によると「FFFTP」をWindowsのコントロールパネルからアンインストールした場合はこのレジストリは削除されるという。

http://www.forest.impress.co.jp/docs/news/20100130_346056.html

FFFTPがオープンソースであるために、パスワードの暗号化自体が解析されてしまっているために、それを使用して暗号化されていたはずのパスワードを抜き取っているとのことです。

リンク先にあるように、SFTPやFTPSを実装しているWinSCPやFileZillaに切り替えた方が良いと思われます。

このようなウィルスに感染した場合、被害者であると同時に加害者になってしまうため多大な損害が出ますし、何より周囲への影響が大きくなってしまうのを防ぐ意味でも他のFTPクライアントソフトに乗り換えるのが良いのではないでしょうか？

ガンブラー：被害急増　有害サイトに誘導の新種ウイルス – 毎日ｊｐ(毎日新聞) /
http://mainichi.jp/select/today/news/20100107k0000m040109000c.html

去年も感染被害が多かったGumblarですが、今年に入っても猛威を振るっているようです。

去年のJR東日本やホンダ自動車に引き続き、ローソンや京王電鉄のホームページも感染被害にあったようです。

ウェブページを管理している人がいらっしゃいましたら、IPAなどを参考にしてセキュリティのチェックを行うようにしましょう。