新・元地方の中規模印刷会社で苦悩するWebデザイナー改めWebディレクターの日記

自由な20代、窮屈な30代を経て、遂に40代になっちまったWebディレクター&パソコン講師の覚書と思う言(こと)。略称【ちほちゅう】

*

ガンブラーを広めたのはFFFTPなのか? (2/9追記)

   

  • このエントリーをはてなブックマークに追加

1年以上前の記事です。内容が古い可能性があります。

僕も使わせていただいているFTPクライアントソフトのFFFTPに脆弱性があったという。
これがネットで様々な憶測を呼び、ガンブラーの原因はFFFTPじゃないのか? なんて話にもなりかねない始末だ。

そこで、一度ネタにしたガンブラーをFFFTPと絡めてもう一度考えてみる。
当ブログでもWebツールとして紹介しているだけに黙ってはいられない。

【PR】
FTPがわかればホームページの更新・管理が簡単にできるFTPがわかればホームページの更新・管理が簡単にできる
著者:本谷 裕二
販売元:広文社
発売日:2000-11
レビューを見る

スポンサーリンク
 

そもそもからしてガンブラーに感染しなければ何ら問題無い。

ガンブラーに感染しなければFFFTPは優秀なFTPクライアントです。
それが証拠にこれだけ大騒ぎになるほどみなさん愛用しているということです。
一部ではFFFTPを使っているとガンブラーに感染すると思われているようですがそれは間違い。

そもそもからしてFTPクライアントの多くは似たような仕様らしい。

ライフハッカーさんでもFFFTPにおける脆弱性を報じていましたが、FFFTPに限定された危険ではないことを追記しています。
フリーFTPソフト『FFFTP』に、8080系のマルウェア感染と同時にID・パスワードを取得される危険性があるそうです : ライフハッカー[日本版], 仕事も生活も上手くこなすライフハック情報満載のブログ・メディア

こちらは『FFFTP』に限定された危険ではなかったようです。

そもそもからしてFTPというプロトコルがセキュアでない。

FTPというプロトコルはメールで使用しているsmtpやpop、Webで使用しているHTTP同様、パスワード等の情報を平文で通信します。
これを盗聴されたら一貫の終わり。
もちろん、ガンブラーやその他マルウェアに感染しなければほとんど盗聴される心配はありません。
のりさんぶらー, FTP (File Transfer Protocol)… (参考)

以上を踏まえてFFFTPをこれからも使い続けていっていいのか考えてみましょう。
その前に今回問題になった部分をおさらい。

ことの発端は以下のブログ記事でした。
UnderForge of Lack » Blog Archive » [Hammmer and Anvil] 夜間便

FFFTPは非常に優れたフリーのFTPクライアントでした。本当に感謝いたします。
しかし、 Version 1.96d [2008/9/23]を最後に更新停止されており、レジストリに ID/Password/接続先 を書き込むため、現在 8080系のマルウェアによって、感染と同時に窃取される危険性があります。

FFFTPはレジストリにIDおよびパスワードを(暗号化した上で)書き込む仕様になっていて、これがガンブラーのターゲットにされたという事実を元にレジストリの削除を促しています。
なお、削除すべきレジストリは以下のとおり(引用)

例:
HKEY_USERS\ユーザー識別番号\Software\Sota\FFFTP\Options\Host0
HKEY_USERS\ユーザー識別番号\Software\Sota\FFFTP\Options\Host1
HKEY_USERS\ユーザー識別番号\Software\Sota\FFFTP\Options\Host2
HKEY_USERS\ユーザー識別番号\Software\Sota\FFFTP\Options\Host3
HKEY_USERS\ユーザー識別番号\Software\Sota\FFFTP\Options\Host4
以下、登録しておいたホストの数だけ・・

で、これはやっておいたほうがいいわけですがその前にバックアップの意味も込めて「設定をレジストリでなくINIファイルに保存する」にチェックを入れ、FFFTPを再起動しておきましょう。
FFFTP設定

これで、レジストリを削除してもFTPの設定は残ります。
レジストリの削除は

  1. 「スタート」→「ファイル名を指定して実行」
  2. 名前に「regedit」と入力して「OK」
  3. 上記にあるレジストリを右クリックで「削除」

で行ないます。
僕は念のために

HKEY_USERS\ユーザー識別番号\Software\Sota\FFFTP\Options\History0
HKEY_USERS\ユーザー識別番号\Software\Sota\FFFTP\Options\History1

等のレジストリも削除しておきました。

ここまで終わっていればとりあえずこのまま使い続けても大丈夫なんじゃないかと思ったりもするのですが、これも完全に安全というわけではない。
iniファイルを覗くとレジストリにあるのよりむしろわかりやすいかたちでIDおよびパスワードが(暗号化されて)羅列されているのです。

さてどうするか?

一番の解決策はFTPを使わないことです。
暗号化してデータのやりとりをするFTP代替プロトコルのSFTPやFTPSを使う。
FFFTPはSFTPやFTPSには対応していないので結果として使わないほうがいいということになりますね。
ただ、あの使い勝手は捨てがたい。

なんて考えていたら本家FFFTP配布サイトにそんな悩みを解決してくれるかもしれないFFFTPのセキュリティ強化版が紹介されていました。
Sota’s Web Page (FFFTP配布先)
昨夜はコメントが多すぎてサイトがダウンしていたようですが今朝復活。
にょろぷにらん | FFFTP対策パッチ作ってみた
とりあえず、こちらを使ってみることにしました。

窓の杜 – 【NEWS】ウイルス感染したPCにおける保存パスワードの窃取問題へ対策した「FFFTP」v1.97 (2/9追記)

 - セキュリティ, トラブル

アドセンス広告メイン

Comment

  1. 774 より:

    NextFTPでも感染しましたよ。4.88ですが。

Message

メールアドレスが公開されることはありません。

  関連記事

GReeeeN解散?ブログで反論も【今週のトピック】

1年以上前の記事です。内容が古い可能性があります。□GReeeeN解散裏付ける「 …

ヤフオクで横行するナイジェリア詐欺とは?

1年以上前の記事です。内容が古い可能性があります。こんどは爆発的な力を持つYah …

「警告」が出てWebサイトにアクセスできなくなった時の対処法

1年以上前の記事です。内容が古い可能性があります。いつからこんな機能がついたのか …

タコ足配線の恐怖

1年以上前の記事です。内容が古い可能性があります。会社のNAS(簡易データサーバ …

債権回収詐欺(ヤミ金騒動)に巻き込まれて学んだこと、感じたこと【まとめ】

1年以上前の記事です。内容が古い可能性があります。今まで何度か書いてきた債権回収 …

アメーバで芸能人パスワードのお年玉【今週のトピック】

1年以上前の記事です。内容が古い可能性があります。□ 深夜の『アメーバブログ』芸 …

ツイッター(Twitter)の仕様変更で「EasyBotter」が動かなくなったのでバグフィックスした

1年以上前の記事です。内容が古い可能性があります。数日前からつぶくまくんのつぶや …

ライブドアブログのHTMLエディタはリストのスタート番号指定ができない

1年以上前の記事です。内容が古い可能性があります。ライブドアブログのHTMLエデ …

no image
「自殺したい」「死にたい」で検索すると。。

1年以上前の記事です。内容が古い可能性があります。livedoor ニュース & …

「Adobe Creative Cloud」ユーザー注意! クレジットカード情報が抜き取られた可能性

要約すると、「9月11日~9月17日にかけて一部の顧客注文情報に不正アクセスがあった」とのこと。
Adobeの調査によると「不正アクセスにより顧客名、クレジットカード番号、有効期限等が抜き取られた可能性」があるということです。
つまり、「クレジットカードの不正利用」 の可能性があるとのことで、ご自身で調べていただきたいとのこと。

さっそく調べてみたところ、自分は一先ず大丈夫だった様子。
ただし、今後も危険性は拭えないので、注意が必要だと思います。

自分の場合は「Adobe Creative Cloud」を契約しているためにAdobe社にクレジットカード情報を提供していました。
とりあえず、仕事で使ってるもんだから今更解約もできないし。。
あとは、定期的にチェックしながらもAdobeさんを信じて沈静化を待つしかないのかもしれないですね。

なお、ちょっと前にニュースになっていたようです。
□ Adobeへのサイバー攻撃、不正アクセスの影響は3800万人に – ITmedia ニュース 

まさかこういったことが自分の身に振りかかるとは。。 

血液型オヤジ