NEWS(10/01/30 20:27)

「FFFTP」のパスワードが“Gumblar”ウイルスにより抜き取られる問題が発生

“ソフトを乗り換えればいい”ではなく、根本的な“Gumblar”対策を

 定番FTPクライアントソフト「FFFTP」の作者であるSota氏は30日、“Gumblar(ガンブラー)”と呼ばれるウイルスにより「FFFTP」で保存したFTP接続パスワードが抜き取られる事例が多発しているという報告があることを、同氏のWebサイトで発表した。

「FFFTP」で管理しているWebサイトなどが改ざんされるおそれ

 “Gumblar”は、昨年より大規模に流行しているコンピューターウイルスで、一般ユーザーでもウイルスが仕込まれたWebサイトを閲覧しただけで感染する可能性がある。さらに感染したPCでWebサイトを管理している場合は、そのサイトを改ざんして感染用のコードを仕込み、感染を広げるのも特徴。今回の事例の場合、「FFFTP」で管理しているWebサイトなどが改ざんされるおそれがある。

 同氏は、接続先のFTPサーバーがSSLなどに対応している場合、「FFFTP」はSSL非対応のためSSL接続対応のFTPクライアントソフトへ乗り換え、「FFFTP」をアンインストールすることを推奨している。

 また、「FFFTP」はパスワードをレジストリに保存しており、ウイルスはこのレジストリからパスワードを抜き取っている模様とのこと。同氏によると「FFFTP」をWindowsのコントロールパネルからアンインストールした場合はこのレジストリは削除されるという。

 ただし、インストーラーを使わずにインストールした場合などは、手動で削除する必要があると思われる。同氏によると、「FFFTP」の[接続]メニューから[設定]−[全設定の消去]を選択することで、レジストリに記録している設定が消去されるとのこと。

 なお、「FFFTP」はパスワードをレジストリへ記録する際に簡単な暗号化を施しているが、ソースが公開されているため、これを解析すれば暗号の解除は可能であるという。

 一方、接続先のFTPサーバーがSSLなどに対応していない場合は、パスワードを「FFFTP」に記憶させないようにし、接続時に毎回パスワードを入力することが推奨されている。ただし、この方法も万全ではないとのこと。

“ソフトを乗り換えればいい”ではなく、根本的な“Gumblar”対策を

 なお、今回は「FFFTP」が“Gumblar”ウイルスによる攻撃の標的とされたことが作者により発表されたが、これはすでにウイルスに感染した環境において、次の攻撃の足がかりとして「FFFTP」の設定が悪用されたというもので、「FFFTP」に脆弱性があることは意味しない。

 そもそも、レジストリなどソフトの設定へウイルスが自由にアクセスできる状態になっている時点で、そのパソコンはすでにウイルス作者の手に落ちていると言ってよく、1つのソフトで対策を施したからといって安全であるとは言えない。まずは各種アップデートパッチの確実な適用やウイルス対策ソフトの導入など、“Gumblar”をはじめとしたウイルスに感染しないための根本的な対策が重要なのは言うまでもないだろう。

 また、SSL接続対応のFTPクライアントソフトとしてはシェアウェアの「NextFTP」などがある。ただし上記の理由により、別のソフトを利用したとしてもウイルスに感染してしまっては安全とは言い切れないので注意してほしい。

(中村 友次郎)

編集部より:作者の発表内容に、ソフト上からレジストリの設定を消去する方法が追加されましたので、記事に追記いたしました。また、レジストリにパスワードを保存する際は暗号化されている点を追記いたしました。