久留米ブログで久留米を紹介！

FFFTPのパスワードを抜き取り、サイトを改ざんするウイルス“Gumblar（ガンブラー）”出現！

FFFTPって、ご存知ですか？
PC上で作成したサイトや画像等をサーバーにアップロードするときに使用するツールです。

自分でサイトを作成し、ネット上に公開したことのある方はご存知だと思います。
Sota氏作ったもので、無料で使用できる優れたアップロードツールです。ネットでは一番使用されていると思います。

このFFFTPは使用する際、独自のパスワードを打ち込むのですが、
通常は前に打ち込んだパスワードがそのまま記憶されている場合が多いと思います。

このあなたのパスワードを抜き取ってしまうウイルス“Gumblar（ガンブラー）”が出てきています。

FFFTPの作者であるSota氏のサイトでも紹介されています。
今回の“Gumblar（ガンブラー）”ウィルスの標的になってしまったことで、自分が管理しているサイトの内容が改ざんされてしまう恐れが出てきたということです。

作者は、FFFTPをアンインストールすることを薦めています。

これはFFFTPを使用することで“Gumblar（ガンブラー）”ウイルスに感染することではありません。何らかの別の要因により、“Gumblar（ガンブラー）”ウイルスに感染した場合、FFFTPが記録している情報が悪用されてしまうという問題です。

Sota氏は、サイト上で以下のように記しています。
「FFFTPはパスワードをレジストリに記録しております。簡単な暗号化をかけてありますが、FFFTPはオープンソースであるため、暗号の解除はプログラムソースを解析すれば可能です。
Gumblarウイルスの亜種は、レジストリに記録されているパスワードを読み取り、サイト改竄に使用しているようです。」

GumblarによるFFFTPへの攻撃について
FTPのアカウントを盗み、サイトを改ざんするGumblarウイルスが猛威をふるっています。このGumblarウイルスの亜種が、FFFTPを狙って攻撃していることが報告されております。
詳しくは以下のサイトを参照してください。
・窓の杜
・smilebanana
・UnderForge of Lack

対策としては、
「●接続先のFTPサーバーがSSL等に対応している場合。
→SSL対応のFTPソフトへの切り替えをお薦めします。現在、FFFTPはSSL等に対応していません。なお、切り替えの際は、コントロールパネルの「プログラムの追加と削除」を使って、FFFTPをアンインストールしてください。

●接続先のFTPサーバーがSSL等に対応していない場合。
→下記のパスワード漏れ対策版のFFFTPをご利用ください。
→Gumblarウイルスの亜種がFFFTPを狙って攻撃しているとの報告があるため、他のFTPソフトに切り替えることで、ウイルスによるサイト改竄の可能性を下げることができるかもしれません。ただし、必ずしも万全とは言えないかもしれません。
→パスワードをFFFTPに記憶させるのをやめ、接続時に毎回パスワードを入力するようにしてください。ただし、Gumblarウイルスは通信の傍受も行っていると考えられるため、FTPサーバーに接続した時点で、Gumblarウイルスにパスワードが盗まれる可能性があり、万全ではありません。

なお、UnderForge of Lackに記載されているレジストリの削除ですが、通常はFFFTPをコントロールパネルを使ってアンインストールした段階で削除されます。」

一番の防御方法は、“Gumblar（ガンブラー）”ウイルスに感染しないようにすることですので、常に最新のウイルスソフトを最新のデーターに更新する必要があります。

なお、1月31日にFFFTP利用者により、「パスワード漏れ対策版のFFFTPが公開」されました。以下のサイトをご覧下さい。
にょろぷにらん・FFFTPパスワード漏れ対処版作ってみた