【2/17】今年は「濃厚」技術トーク!@ITメールセミナーNewsInsight'); // -->http://www.atmarkit.co.jp/news/201002/03/gumblar.html#" title="Twitterでみんなに教える" target="_blank" alt="この記事をTwitterでみんなに教える">
JPCERT/CCがGumblarによる情報流出に注意喚起
FTPソフトに加えIE6では「オートコンプリート」のアカウント情報も流出
2010/02/03
JPCERT/CCは2月3日、いわゆる「Gumblar(8080系)」ウイルスへの感染によって、コンピュータ内に保存されているアカウント情報が盗み取られる危険性について、改めて注意を促した。Gumblarに感染すると、FTPクライアントソフトが保存する情報に加え、Internet Explorer 6のアカウント管理機能を用いて保存されているID/パスワード情報も、盗み取られる危険にさらされる。つまり、GmailやTwitterなど、さまざまなWebサービスを利用するためのアカウント情報が盗み取られる恐れがあるということだ。
Gumblarは、脆弱性のあるPCを攻撃して侵入するマルウェアだ。既存のWebサイトを改ざんし、見た目は変わりなくともバックエンドで悪意あるサイトに誘導して感染させるため、ユーザーがそれと気付くのは難しい。いったん侵入すると、次々に新しいマルウェアをダウンロードしてさまざまな活動を行う。一例として、偽のセキュリティ対策ソフトの購入を迫るようなウイルスが発見されているほか、クライアントPC内に保存されたID/パスワード情報を盗み出すケースが報告されている。後者の場合、盗んだIDを使ってなりすましのアクセスを行い、さらに多くのWebサイトを改ざんしていると見られる。
つまりGumblarに感染してしまった場合、コンピュータのレジストリ内に保存されている情報が読み取られ、外部サーバに送信される恐れがある。JPCERT/CCでは、複数のFTPクライアントおよびWebブラウザで、アカウント情報が盗み出されたことを確認し、そのソフトウェア名を公表した。具体的には以下の通りだ。
FTPクライアント
- ALFTP 5.2 beta1
- BulletPloof FTP Client 2009.72.0.64
- EmFTP 2.02.2
- FFFTP 1.96d
- FileZilla 3.3.1
- FlashFXP 3.6
- Frigate 3.36
- FTP Commander 8
- FTP Navigator 7.77
- FTP Now 2.6.93
- FTP Rush 1.1b
- SmartFTP 4.0.1072.0
- Total Commander 7.50a
- UltraFXP 1.07
- WinSCP 4.2.5
これらのFTPクライアントを利用している場合は、PCに保存してあるアカウント情報が盗まれる恐れがあるため、接続のたびに毎回パスワードを入力するなど、運用面で対策を講じることが一助になる。また、FTPでアクセスできる接続元をIPアドレスで制限することも、万一に備えた対策と言える。さらに、FTPプロトコルは盗聴のリスクも抱えているため、FTPに代えて、より安全なプロトコルであるSFTP(SSH File Transfer Protocol)やFTPS(File Transfer Protocol over SSL/TLS)を採用することが、より根本的な対策といえる。
Webブラウザ
- Internet Explorer 6
- Opera 10.10
感染すると、IE6の設定の「コンテンツ」タブにある「オートコンプリートの設定」で保存しているIDやパスワード情報が盗み取られる恐れがある
Webブラウザのアカウント管理機能では、ベーシック認証やフォームに直接入力するタイプのID/パスワード情報を保存し、目当てのサイトにアクセスした際に自動的に入力できるようになっている。しかしGumblarに感染すると、そうした情報が盗み取られ、外部サーバに送信されていることをJPCERT/CCでは確認した。例えばIE6ならば「オートコンプリートの設定」で保存されるIDおよびパスワードがそれに当たる。
なおJPCERT/CCによると、少なくともIE 7/8では、こうしたアカウント詐取は確認されていない。このため、IE6を利用している場合はバージョンアップが推奨される。しかし今後、別のブラウザのパスワード保持の仕組みを狙ったり、あるいはFTP以外にsshやPOP3、インスタントメッセンジャーなどのアカウントを盗むよう改変された新たな亜種が登場する可能性は否定できない。
結論として、Gumblarへの根本的な対策は、クライアントPCの脆弱性を解消することだ。OSはもちろん、Webブラウザやそこで利用されているAdobe Acrobat/Reader、Adobe Flash Player、Java(JRE)といったプラグインソフトを最新のものにアップデートし、パッチを適用することで、Webサイトを介した攻撃を回避できる可能性が高まる。同時に、最新の定義ファイルにアップデートした状態でウイルス対策ソフトを利用することでもリスクを減らすことができる。
関連記事
(@IT 高橋睦美)
情報をお寄せください: tokuho@ml.itmedia.co.jp
Security&Trust フォーラム 新着記事
- 「脆弱性根絶なんてできっこない」と嘆く前に (2010/2/2)
バグをなくせ、脆弱性を作るな――そんな精神論はもう飽き飽き。でもあきらめる前に、この現状でもできることを考えよう- データ保護と暗号化はイコールではない? (2010/1/27)
暗号化だけが保護の方法ではありません。要件として設定されている「保存されたカード会員データを保護すること」の真意を解説します- OpenID/SAMLのつなぎ方とその課題 (2010/1/22)
1つのベン図からスタートしたID管理技術の相互運用。OpenIDとSAMLを例に、実際の運用方式とその課題を解説します- 新春早々の「Gumblar一問一答」 (2010/1/20)
一躍メジャーになってしまったトロイの木馬、ガンブラー。何が脅威でどう対策すべきか、もう一度確認してみましょう
@ITメールマガジン 新着情報やスタッフのコラムがメールで届きます(無料) 
RSSフィード
@IT 新着記事アイティメディアの提供サービス
ホワイトペーパー(TechTargetジャパン/閲覧には会員登録が必要です)
Windows 7 とこれからのPC管理(2/4)スキルアップ/キャリアアップ(JOB@IT)
えらいこっちゃ。
0 件のコメント:
コメントを投稿