去年あたりから、「Gumblar (ガンブラー)」 に代表されるような、FTP のアカウント情報を何らかの手段で盗み出して Web サーバにアクセスし、Web サイトを改竄して被害を広めていくタイプのウィルスが問題になっていますが、今日になって広く利用されているフリーの FTP クライアントである 「FFFTP」 にアカウント情報漏洩の危険性が見つかったということで話題になっていました。
「FFFTP」のパスワードが"Gumblar"ウイルスにより抜き取られる問題が発生 : 窓の杜
ただ、この問題で、FTP 自体の危険性と FFFTP 自体の特性、さらに Gumblar 対策という点で少し情報が混乱している状況が見受けられます。そこでその点を簡単にまとめてみました。
まず、ありがちな誤解から。
- Gumblar って FFFTP を狙ったウィルスだったんだね。
- FFFTP に脆弱性があったのか。怖いなあ。
- 私は FFFTP を使ってないから安心したよ。
- 他の FTP クライアントを使えばいいんでしょ?
- パスワードを PC に保存しないで毎回打ち込めばいいでしょ?
- SFTP とか FTPS で接続してるから Gumblar なんか怖くないよ。
どうですか?周りにこんなこと言っている人いないでしょうか。まず話を整理しましょう。
- 今回の FFFTP の件はソフトウェアの脆弱性じゃないです
- 最も重要なのは根本的な Gumblar 対策
- FTP 自体を基本的には使用しない
- 「パスワードを PC に保存しない」 は解決策じゃない
- どうしても FTP を使わないといけない場合は?
それぞれ説明していきます。
1. 今回の FFFTP の件はソフトウェアの脆弱性じゃないです
まず、上記、窓の杜さんの記事内でも書かれていますが、今回の FFFTP がレジストリに書き込んだ FTP 情報がウィルスによって抜き取られるという問題は、高いシェアを誇る FFFTP が採用した 「レジストリに設定情報を保存する」 という方式を Gumblar の亜種がターゲットにしたからですが、これと FFFTP 自体に脆弱性があるという話はイコールではありません。
他にもレジストリに設定情報を保存する FTP クライアントは存在するかもしれませんし、どんなソフトウェアでも、PC 内のどこかしらに設定情報は保存しているわけで、これを脆弱性と言ってしまっては PC 内に情報を保存できなくなってしまいます。(FFFTP も設定情報は暗号化した上で保存しています)
2. 最も重要なのは根本的な Gumblar 対策
当たり前すぎてなんですが、ウィルス対策ソフトを入れてきちんとアップデートしておく、OS、ブラウザやそのプラグインなど各種ソフトウェアのアップデートを行う、不用意に添付ファイルを開かない、怪しいサイトに行かない...など、Gumblar に限らず、ウィルスやマルウェアに感染しないための対策が最も重要なのは言うまでもありません。
参考リンク
3. FTP 自体を基本的には使用しない
FTP (File Transfer Protocol) はそのプロトコルの仕組み上、クライアントとサーバが通信する際にパスワードが暗号化されません。この、「サーバにログインして、ファイルを書き換えたり削除できる権限を持ったアカウント情報が平文でやりとりされる」 という仕様が FTP の大きな問題点で、Gumblar もこの点を突いて感染した PC とサーバ間の通信を盗聴するなどし、FTP 情報を盗んで行くわけです。
で、例えばこのパケット盗聴は自分の PC が Gumblar などのウィルスやマルウェアに感染していなければされる心配はないのかというとそんなことはありません。様々な手法でネットワークを流れる情報の盗聴は可能です。そういう意味でパスワードを暗号化せずに通信する FTP 大きなセキュリティリスクを抱えており、今の時代、大切な情報を保存してあるサーバへのアクセス時に、通常は使用しないのが前提のプロトコルだと言えます。
よって、サーバとの通信時に暗号化が行われる SFTP (SSH File Transfer Protocol) や FTPS (File Transfer Protocol over SSL/TLS) を使用するようにしましょう。SFTP に対応したクライアントとしては WinSCP、FTPS 対応クライアントとしては NextFTP (シェアウェア) がそれぞれ個人的なオススメです。
4. 「パスワードを PC に保存しない」 は解決策じゃない
今回の FFFTP の件では PC に保存された設定情報が盗まれるので、「パスワードを毎回手入力するようにして PC に保存しなければいいんじゃないの?」 と思われる方もいるかもしれませんが、FTP で接続している以上、前述の通りパケット盗聴で漏洩する危険は排除されていないため、全く解決になっていません。
また、SFTP などで通信を暗号化していたとしても、Gumblar の亜種にはキーロガー機能を持ったものも確認されているようですので、パスワード入力時に漏洩する危険と無縁ではありません。 (SFTP などを使ってるので Gumblar と無縁ということはないということです)
5. どうしても FTP を使わないといけない場合は?
とはいえ、サーバが SFTP や FTPS に対応していなくて、その変更もできないなど、どうしても FTP での接続をしないといけない場合もあります。その場合、ベターな方法としては、必要な時だけワンタイムのパスワードを発行し、作業が終わったら FTP アカウントを無効にするといった対策等が挙げられます。作業効率は落ちますけどね。
しかし上記はあくまで妥協策です。サーバの設定変更などで SFTP や FTPS に可能対応なのであれば、そちらを使うようにしましょう。格安のレンタルサーバでもさくらインターネットさんなどは、SFTP に対応していますし (スタンダードプラン以上)、サーバ選定の際にこの辺も確認しておくのがいいと思います。
というわけで、簡単にまとめてみました。私はセキュリティの専門家ではありませんので、もしかすると抜けている点などもあるかもしれませんが、その点はご指摘頂ければ。とにかく正しい知識をもって対策をとるように心がけましょう。
- Gumblar (を含むウィルス) 対策をしっかりやる
- Gumblar 感染の有無に関わらず FTP 自体がそもそも危険
- SFTP や FTPS を使用するようにしましょう
- FFFTP にはリスペクトを
[1/31 追記]
SFTP、FTPS が標準 (プランによる制限はあったとしても) で利用できる共有レンタルサーバを有名どころだけ簡単にですが調べてみました。
まず、SFTP が標準で利用可能なところだと、
FTPS が標準で利用可能なところだと、
これ以外にも標準で利用可能なサーバ会社さんやオプション契約すれば SFTP or FTPS を利用できるようになるサーバ会社さん、さらにセキュアなファイルマネージャー機能が提供されているサーバ会社さんもたくさんあるとは思いますが、全部挙げていたらキリがないので。
ひとつ言えるのは、ファイル転送には FTP しか使えませんなんてサーバは今の時代ちょっとあれですので避けた方がいいってことです。特に仕事でサーバを選ぶときとかは値段だけじゃなくてそういうところもちゃんと調べましょうね。
参考リンク
UnderForge of Lack » Blog Archive » [Hammmer and Anvil] 夜間便
![[広告] EIZO 地デジ対応ターミナルモニター](http://direct.eizo.co.jp/docs/link/Netmile_080422.gif)
はじめまして、趣味でホームページを作っていますが、このニュースを見て驚き、つい10年来使ってきたFFFTPをアンインストールしてしまいました。
代替えのソフトとしてWinSCPやNextFTPを挙げられているサイトさんが多いようですが、私が代替えとして入れたALFTPというソフトはどうなのでしょうか?
ALFTPを代わりに使用しても脆弱性等の点で特に問題がなさそうであれば使っていきたいと考えていますが、あまりにどこのサイトでも名前が挙がってこないのでご意見伺おうとコメントさせていただきました。
> FFFTP も設定情報は暗号化した上で保存しています
このあたり補足ですが、FFFTPは暗号化というよりも、パスワードを一対一の対応表で変換をしている程度ですので簡単に元に戻せます。(そのようなフリーソフトやJavaScriptが配布されています)
ついでにFFFTPはソースコードが配布されているので、何をしているのかソースからたどりやすいということもありますね。
ただ、いずれにしてもFFFTPに限らず(ブラウザソフトのfirefoxですら)、ローカルにパスワードを保存しているFTPソフトは複合処理をしなければならないので逆アセンブルすれば元のパスワードを取り出すことはできますし、サーバにIDとパスを平文送信するので、パケットを見ていれば簡単な話ですね。
> 逆アセンブルすれば元のパスワードを取り出すことはできますし
そのために一方向性関数があるのです。
この前提が崩れたら、世の中の暗号はなりたたなくなります。
SFTP・FTPS対応のクライアントであれば、FileZillaが良いのではないかと。フリーですし両方対応してます。海外ソフトですがインストール時点で日本語化されていました。
> そのために一方向性関数があるのです。
UNIXがパスワードを記憶している時のように、パスワードの同一性を確認するような場合ですよね。
FTPでは、FTPソフト(クライアント)がFTPサーバに接続する際に、平文のIDとパスを送信しなければなりませんから、どうしてもFTPソフトが平文のIDとパスを一時的にも内部に持つ状態が発生します。FTPソフトがIDとパスを暗号化していても、それを複合しないことにはサーバに接続できないのですから。どんなに複雑なアルゴリズムを用いてパスワードを暗号化してローカルPCのファイルに保存していても、複合された直後を調べられたらアウトです。
例えるなら、ブラウザとWebサーバ間がhttps(SSL)で暗号化通信しても、ブラウザ上では私たちが読める文字として表示されているので、その段階まできたら途中の経路が暗号化されていても意味がないのです。gumblarの"ような"ウィルスに感染しているというのは、もはやその段階にある、ということです。
これは、SFTP,FTPSを鍵交換ではなくパスワード接続してる場合も同様ですね。
> cueさん
本文を良く読まれましたか? ちゃんと読んでいれば、それが全く解決にはなっていないことがわかると思うのですが……。
cueさんコメントありがとうございます。
ALFTPに乗り換えて、SFTPを使うというのならいいとは思います。ソフトを変えてFTPを使い続けるというのは上で……。さんが書かれているように根本的な解決にはなっていないですね。
ALFTPというクライアントがオススメかに関して、私はALFTPを使ったことがないのでなんとも言えないです。すいません。
お答えいただきありがとうございました。
他サイトの記事などを見ても代替えにALFTPというソフトの名前が挙がっていなかったので、ALFTPには何か特別な脆弱性があるので誰も推奨していないのではないかと勘繰ってしまいました。
今までそれ程考えていませんでしたが、これを機会にSFTPをはじめセキュリティ面をもう一度考え直してみたいと思います。
cueさん
ALFTPは多くのサイトでも紹介されていますし、信頼できるソフトウェアだとは思います。あとライフハッカー日本語版で代替ソフトとして紹介もされていましたよ。
http://www.lifehacker.jp/2010/01/100130ftpffftp8080id.html