Home > セキュリティ > ガンブラー対策をしよう

ガンブラー対策をしよう

これだけ世の中のWebサイトが不正に改竄されたのはなぜだろうか?また、改竄を防ぐ対策を各企業が行っているだろうか?サーバベンダーの対策には何を求められるかを考えてみた。

全ての場合において、必ず行うべき項目は次の通り。

  • パスワードを定期的に変更する(FTPに限らず)
  • パソコンにインストールされている全てのバージョンを最新にする

サーバ管理者においては

  • 危険度をユーザに知ってもらう
  • 暗号化された通信で漏洩を防ぐ

サーバ管理者がインターネット経由で Telnet 接続をするなどという事は今の時代はあり得ません。しかし、FTPやPOP3などのパスワードは暗合していない場合が多いです。POP3ではAPOPがありFTPにはsFTPやFTPsがあります。どれをどのように使うかはユーザが選択するかもしれませんが、ユーザが素人の場合、「おまかせ」で無ければならないはずです。

固定IPアドレスがあるのであれば、IP制限を設けるのも非常に有用な対策になります。被害に遭う前に知っておく、知らせておく、やるべき事を見直す事が重要です。

■「ガンブラー(Gumblar)」って何?

そもそも「ガンブラー」とは、一体何なのでしょうか?

▽「Gumblarの手口を知り、対策を」IPAが注意喚起 -INTERNET Watch
▽情報処理推進機構:プレス発表:記事
▽「ガンブラー」は手口の名前、感染するウイルスはさまざま - ニュース:ITpro
▽ASCII.jp:猛威が止まらない!ガンブラー総まとめ

<ガンブラーは“PCをウイルス感染させる手口”、感染するウイルスの種類は様々>

国民に対してセキュリティに関する情報提供を行い、届出や相談を受け付けている情報処理推進機構(IPA)によれば、ガンブラーとは「Webサイトの改ざんとWeb感染型のウイルスを組み合わせて、多数のPCをウイルスに感染させようとする手口」とされており、この手口によって感染させられる可能性のあるウイルスの種類は様々です。

この手口によって、ユーザーが以下のような危険にさらされる可能性があります。

セキュリティ対策が不十分なパソコンでは、ウェブサイトを閲覧するだけでウイルスに感染させられてしまう上、ウイルスに感染したことが見た目には全く分からない場合がある
有名企業のウェブサイトが攻撃に使われる場合もあり、「不審なウェブサイトを閲覧しない」 といった回避策が必ずしも有効とならない。
感染させられるウイルスは特定のものではなく、攻撃者がコントロールできるため、どのようなウイルスに感染させられるかが分からない 。

そこでIPAでは、ガンブラー被害を防ぐためユーザーに対し次のような対策を求めています。

「ガンブラーによるウイルス感染への対策」

1.脆弱性の解消
Web 感染型ウイルスはPCの脆弱性を悪用して侵入するため、OSやブラウザ、各種アプリケーションソフトなど、PCにインストールしているソフトはできる限り全て最新版に更新し、脆弱性を解消しましょう。また、特にウイルスに狙われることが多いAdobe Flash Playerなどのソフトについては注意が必要です。IPAでは、これらのソフトが最新版になっているかどうかのチェックができる「MyJVN バージョンチェッカ」というツールも公開されています。

2.ウイルス対策ソフトの導入
ウイルス対策ソフトは万能ではないものの、重要な対策の1つです。導入するとともに、ウイルス定義ファイルを最新に保つことも重要。特にガンブラーなどに対しては、危険なWebサイトを閲覧しようとした時にブロックする機能などを備える「統合型」と呼ばれる製品が推奨されます。

3.ゼロデイ攻撃への対策
脆弱性が発見されてから、その修正プログラムが公開されるまでの期間を狙った「ゼロデイ攻撃」については、ベンダーやIPAなどが発信する情報を確認するとともに、できる限りの回避策を取りましょう。

4.ウイルスに感染したら?
ウイルスに感染してしまった、あるいは感染しているか不安な場合に取りうる手段は、ウイルス対策ソフトによる検査と駆除です。対策ソフトが発見できない、未知のウイルスに感染したとしても、数日後にウイルス対策ソフト側が対応し、発見できるようになる可能性があります。ただ明らかに動作がおかしく、ウイルス対策ソフトによるウイルスの発見や駆除ができないような場合に確実にウイルスを除去する最終的な手段としては、パソコンの初期化を行うしかありません。

上記の内容について、詳しくはこちらのPDFにまとめられています。

■FTPクライアントとの関係性は?

最近よく耳にするのが、ガンブラーによって、サーバにファイルをアップロードする際に利用する「FTPクライアント」のアカウント情報が盗まれるという話題。続いては、ガンブラーとFTPクライアントとの関係について見ていきましょう。

<FTPはログイン時にパスワードが暗号化されないため、アカウント情報が盗まれる可能性が>

▽保存したパスワードを盗むウイルスに注意、「ガンブラー」で感染 - ニュース:ITpro
▽「Web制作者が覚えておくべきガンブラーの基礎知識と対策-前編」 by. 野本幹彦 - MdN Design Interactive - Webデザインとグラフィックの総合情報サイト
▽セキュリティ通信|セキュリティ関連ニュース ガンブラー攻撃の対象ソフトをJPCERTが確認?アカウント情報盗み外部送信

ガンブラーの手口でWebサイトを改ざんしようとする攻撃者にとっては、まずそのサイトの「管理用アカウント情報」を得る必要があります。そこでターゲットとなるのが、一般的に使われることが多い「FTPクライアント」のアカウント情報。FTPはその仕組み上、クライアントとサーバが通信する際にパスワードが暗号化されないため、アカウント情報が簡単に盗まれてしまう可能性があります。

インターネットを介して発生する侵入やサービス妨害などについて、情報収集や対策支援を行っているJPCERTコーディネーションセンター では、アカウント窃取の対象となるFTPクライアントとして、以下のリストを公開しています。

ALFTP 5.2 beta1
BulletPloof FTP Client 2009.72.0.64
EmFTP 2.02.2
FFFTP 1.96d
FileZilla 3.3.1
FlashFXP 3.6
Frigate 3.36
FTP Commander 8
FTP Navigator 7.77
FTP Now 2.6.93
FTP Rush 1.1b
SmartFTP 4.0.1072.0
Total Commander 7.50a
UltraFXP 1.07
WinSCP 4.2.5

上記のほか、WebブラウザのInternet Explorer 6やOpera 10.10に保存されているアカウント情報についても、盗まれる可能性があるとのことです。

▽FTP アカウント情報を盗むマルウエアに関する注意喚起

■アカウント情報を守るには?

ではFTPクライアントのアカウント情報を盗まれないためには、どんな対策が必要なのでしょうか?

<まずは根本的なガンブラー対策を。FTPよりもSFTPやFTPSを使おう>

▽FTP の危険性に関して超簡単まとめ | WWW WATCH

こちらのエントリーでは、対策として以下のポイントを挙げています。

最も重要なのは、根本的なガンブラー対策。
「パスワードをPCに保存しない」 は解決策にならない。
サーバとの通信時に暗号化が行われるSFTPやFTPSを使う。

まず何より重要なのは、先ほどもご紹介したガンブラーに対する根本的な対策です。そして「パスワードをPCに保存しなければ大丈夫」と思いがちですが、FTPで接続する以上はサーバ間の通信時に情報を盗まれる可能性があるため、解決策にはなりません。

またサーバにファイルをアップロードする際は、サーバとの通信時に暗号化が行われるSFTPやFTPSを使うようにします。上記のエントリーでは、オススメのSFTP/FTPS対応クライアントや、利用可能なレンタルサーバも紹介されています。またパスワードの他に鍵認証を利用できるSCP対応のクライアントを使えば、より安全性が高まります。ただしこれらのクライアントを使った場合でも、パスワードや鍵ファイルが漏洩する可能性が完全に無くなる訳ではないので、引き続き充分注意しましょう。

Comments:0

Comment Form
Remember personal info

Trackback+Pingback:0

TrackBack URL for this entry
http://blog.ispace.co.jp/192/trackback/
Listed below are links to weblogs that reference
ガンブラー対策をしよう from おまかせブログ2.0

Home > セキュリティ > ガンブラー対策をしよう

おまかせSearch
おまかせブログ 人気記事
おまかせFeeds
おまかせブログ Meta
おまかせLinks
おまかせPR
CoRichブログランキング
ブログランキング
blogram投票ボタン
This Page Counter: 3,870

Page Top