俺の図書館

君の美術館メンバーによる、仮想週間雑誌ブログ

PREV | PAGE-SELECT | NEXT

≫ EDIT

スポンサーサイト

上記の広告は1ヶ月以上更新のないブログに表示されています。
新しい記事を書く事で広告が消せます。

| スポンサー広告 | --:-- | comments(-) | trackbacks(-) | TOP↑

≫ EDIT

デジタルランナー100% Vol.16

デジタルランナー100%

■特集 「GumblarウィルスとFFFTP」 筆者 Hisp

Gumblarウィルス(以下Gumblar)といえば、
昨年から猛威を振るい続けているコンピュータウィルスです。
Gumblarという攻撃手法を用いたウィルスの総称を差すもので、
日本ではGENOウィルスが有名ですね。
昨年末から亜種の感染が拡大しており、非常に危険なものとなっています。

Gumblarが何故ここまで感染拡大しているかというと、理由はその攻撃手法にあります。
まず、感染経路がWEBによるHP閲覧と言う点です。
不正なコードを実行するように改ざんされたHPに、閲覧者がアクセスする事で感染します。
簡単に言えば、HPを見ただけで感染してしまうのです。
この時点で、"怪しいファイルは開かない"等の対策は出来ません。

コンピュータに侵入を果たしたウィルスは、
そのコンピュータ内にてネットワークトラフィックを監視します。
(つまり、通信の内容をチェックしている)
そして、FTP通信を確認すると、そこからIDやパスワードなどを抜き取ります。
そこで得たID/PASSを用いて通信先のFTPサーバにアクセスし、
保存されているHTMLファイル等に不正なコードを仕込みます。
結果、改ざんされたHPが完成し、また別の閲覧者が感染するというループになります。

そして、最近の亜種ではFTP通信をせずとも特定のFTPクライアントを狙い撃ちして、
コンピュータ内に保存されているアカウント情報を盗み取るようになりました。
ここの所話題になっているのはこの点ですね。

具体的な例を説明します。
日本においてFTPクライアントと言うとまず出てくるのがFFFTPです。
そして、現在Gumblarウィルスの標的の一つにもなっています。

FFFTPはデフォルトの設定だとアカウント情報はレジストリに保存されます。
↓こんな感じ↓ HKEY_CURRENT_USER\Software\Sota\FFFTP

reg.png

パスワードの部分は暗号化されており、分からないようにはなっています。
が! そもそも、この保存された情報を丸々盗み出してFFFTPに読み込ませれば、
暗号化されたパスワードが解読出来なくても、FTPサーバにはアクセスできてしまいます。

ただ、GumblarはFFFTPを用いるわけではないので、
GumblarはFFFTPの暗号化されたパスワードを解読する機能を持っているのでしょう。
実の所、FFFTPのパスワード解読アルゴリズムはすでに解析されているのですから。


FFFTPの場合、レジストリにアカウント情報が保存されるのは先述しましたが、
これをFFFTPのフォルダにiniファイルとして保存するようにする事で、
多少のGumblar対策にはなります。(気休め程度ですが)


setting.png


環境設定 → その他タブ
こうする事で、レジストリには保存されずFFFTPのフォルダにiniファイルとして保存されます。
ですが、これだけでは全く無意味です。
1度レジストリに保存された情報はそのまま残っており、そちらを削除しなければなりません。

レジストリの操作が分かる方は、
HKEY_CURRENT_USER\Software\Sota\FFFTP\Options
上記以下のキーを全て削除しましょう。
先ほどのレジストリエディタの画像にある、History数字とHost数字の箇所を全てです。

レジストリ操作の分からない方はむやみに手を出さず、
FFFTPフォルダに保存されているffftp.iniを1度別の場所に保存してから、
コントロールパネルからプログラムの追加と削除でFFFTPを削除しましょう。
その後、FFFTPを再びインストールしなおし、先ほどの環境設定のチェックを入れ、
FFFTPフォルダに保存しておいたffftp.iniを上書きすれば完了です。

ただ、本当にこれは気休めで、
C:\Program Files\ffftp-1.92 と言った感じに、
デフォルト設定のプログラムフォルダにインストールしている場合、
ウィルスは直接iniファイルを読み込みに行けばいいだけの話なのです。
なので、もう少し手を加えるならば、
FFFTPのフォルダをC:\Program Filesとは別のフォルダに手動で保存し、
インストール情報が残らないように、
プログラムの追加と削除から削除しておくのがいいと思います。

ちなみにですが、パスワードの解読が容易であるFFFTPが悪いと言うわけではありません。
Gumblarの標的になっているFTPツールはこんなにあります。

- ALFTP 5.2 beta1
- BulletPloof FTP Client 2009.72.0.64
- EmFTP 2.02.2
- FFFTP 1.96d
- FileZilla 3.3.1
- FlashFXP 3.6
- Frigate 3.36
- FTP Commander 8
- FTP Navigator 7.77
- FTP Now 2.6.93
- FTP Rush 1.1b
- SmartFTP 4.0.1072.0
- Total Commander 7.50a
- UltraFXP 1.07
- WinSCP 4.2.5

ここまで読んでいただけたら分かると思いますが、
FFFTPを含めてFTP通信に関する部分に対策をしたところで、
感染してしまった時点で非常に厳しいです。
根本的には感染しないようにする事が大事で、そちらを気を付けた方が効果的です。


読み疲れる内容の文章が結構長くなってきたので、
具体的な感染予防については、来週のデジランで紹介しようと思います。

とりあえず先立って簡単に3つ。

・ローカルにパスワードを保存せず、通信はSFTPを使え!
・WindowsUpdateや何やかんや色々アップデートしろ!
・っていうか、セキュリティソフト入れろ!


■何でも紹介コーナー 筆者 Hisp

英国政府に「IE6」からのアップグレードを求める嘆願書:ニュース - CNET Japan
http://japan.cnet.com/news/media/story/0,2000056023,20407822,00.htm

IE6で君美HPを閲覧の方はご存知だと思いますが、
君美でもIE6からの脱却を推奨しています。
バグばかりでHP制作する身としては非常に悩みの種であり、
しかも、AJaxなどで引っ張りだこのJavaScript処理速度は遅いといいところ全くありません。
なので、皆さんもIE6やめてねっ。Hispお兄さんからのお願いだよ!
(ちなみに、アクセス解析を見る限り君美HPへのIE6からのアクセスは10%程)

ロコロコのうた~シャンハーイ、ホーラーイver~‐ニコニコ動画(9)
http://www.nicovideo.jp/watch/sm9538228

コーラス隊のシャンハイがかわいすぎてもう……。


■余談 筆者 Hisp

先週記載したHispのツイッターアカウントですが、
ここに載せただけだったのに結構な数のフォローが!
まだまだ募集しますのでお気軽にどうぞです。
おなか減ったとかアイス食べたいばっか言ってますが。(・ω・)

http://twitter.com/hispco

| 旧 木:ゲーム・電脳 | 19:45 | comments:0 | trackbacks(-) | TOP↑

COMMENT













非公開コメント

PREV | PAGE-SELECT | NEXT

上記広告は1ヶ月以上更新のないブログに表示されています。新しい記事を書くことで広告を消せます。