FTPソフトとウイルス感染でパスワード流出対策 【サイト改ざんハッキング被害】
WindowsパソコンにインストールされてるFTPソフトからサーバーを管理するアカウント情報(ホスト名、ユーザー名、パスワード)が引っこ抜かれ、悪意のある第三者に流出する脅威のメモ書きです。 (・。・)b
- ページに不正なコードを挿入され、「安全」と思い込んで訪問する一般ユーザーにウイルスをバラ撒く
- ウイルス関連の不正なファイルがアップロードされたり、アカウント情報を盗むフィッシング詐欺ページを設置される
パソコン内のさまざまなソフトからアカウント情報を盗み出すウイルスを作成できる不正ツール
FTPソフトが狙われる! パスワードを盗むウイルスの脅威
ウイルス感染手段は、ネットサーフィン中の強制インストール(ドライブバイ・ダウンロード攻撃)も多いので、仮にもコチラの無料ウイルス対策をやってないと、こういうセキュリティソフトが活躍する場面なく殺られる悲劇!
正規サイトが改ざんされウイルスをバラ撒く例は、日本も含め世界中で日常的に発生してますが、『危険なサイトを見ない』『怪しいリンクをクリックしない』といった現実の脅威とズレてる対策が今だに通用すると思い込んでるユーザーさんが…
- ウェブサイト改ざんの増加に関する一般利用者(ウェブ閲覧者)向け注意喚起 (IPA 情報処理推進機構)
- 止まらないウェブ改ざん! ウェブサイトの管理の再検討を!
サイト管理者のWindowsパソコンがパスワード搾取機能を持ったウイルス・スパイウェアに殺られると…
| FTPソフトのアカウントを盗み取るマルウェア例 | ||
|---|---|---|
| ネットバンキングウイルス PWS:Win32/Zbot |
ネットバンキングウイルス Backdoor:Win32/Vawtrak |
|
| パスワードスティーラ PWS:Win32/Fareit |
ダウンローダー型トロイの木馬 PWS:Win32/Karagany |
|
| ランサムウェア PWS:Win32/Reveton.B |
ファイル寄生型ワーム Trojan:Win32/Ramnit |
|
| 迷惑メール送信ボット Backdoor:Win32/Kelihos |
ダウンローダー型トロイの木馬 TrojanDownloader:Win32/Kuluoz |
|
| ガンブラー改ざんで暗躍 Trojan:Win32/Daonol |
- | |
【1】 FTPソフト起動中に転送情報をパケットキャプチャで盗聴される
盗聴するチャンスはFTPソフトがサーバーと接続してる間だけなので、事前にウイルスは感染したまま常駐し続ける必要あり
対策 ⇒ サーバーの対応次第だけど、暗号化なしの素のFTP接続を利用しない
【2】 パソコンに保存されてるFTPソフトの設定ファイルやレジストリから情報を抜き取る
FTPソフトの起動に関係なくパソコンが起動してさえあれば、いつでも複数のアカウント情報を一挙に抜き取り可能
対策 ⇒ FTPソフトのマスターパスワード機能を利用する
対策 ⇒ FTPソフトにパスワードを保存しない
★ FTP アカウント情報を盗むマルウエアに関する注意喚起 (JPCERT コーディネーションセンター)
無料FTPソフトたちのセキュリティ対応状況
日本語表記に対応してる無料FTPソフトたちの紹介です。FTPソフトはブラウザなんかと同じで併用できます。
| FFFTP (開発終了) |
| 素のFTP接続のみ マスターパスワード機能あり |
| FFFTP 開発引き継ぎ版 |
| FTPS接続に対応 マスターパスワード機能あり |
| FileZilla Client |
| FTPS/SFTP接続に対応 マスターパスワード機能あり |
| WinSCP |
| FTPS/SFTP接続に対応 マスターパスワード機能あり |
☆ マスターパスワード機能とは?
Windows のレジストリや設定ファイルに保存されるFTPアカウントの情報(サーバーにログインする時に必要なパスワード文字列)をマルウェアの脅威から保護するセキュリティ機能で、FTPソフトを起動した後に一度だけ入力します。
たとえば、5ヶ所のウェブサイトを管理していたとしても、これら5個のパスワードを暗記しておく必要がなくなるメリットがあります。
◆ FFFTP by Sota / FFFTP Project
日本で長らく定番の国産ソフト。バージョン1.97以降からマスターパスワード機能をサポートしており、アカウントを保護するには機能の利用が必須です。
メニューの [接続(F)] → [設定(S)] → [マスターパスワードの変更(M)...]
ただ、素のFTP接続しか対応してないソフトだったので転送情報の盗聴が物理的に対処ムリでしたが、本家Sotaさんの開発終了を受けて2011年に誕生した SourceForge.JP(現OSDN) での開発引き継ぎ版はFTPS接続にも対応してます。
FTPS接続に対応、SFTP接続は項目があるだけで未対応
◆ FileZilla Client by Tim Kosse
世界で定番のソフトの1つで、ファイルをたくさんアップロードする転送スピードに速さに定評があります。
2015年3月のバージョン3.10.2からパスワードをBase64でエンコードして保存するようになった。ただ、これはパッと見で本来のパスワードが把握できないだけでデコードは簡単であり、セキュリティ上のリスクを依然として抱えたままです。
2017年6月のバージョン3.26.0からマスターパスワード機能が正式にサポートされ、下で指摘してるセキュリティ上のリスクを解消できるようになった。マスターパスワード機能は [設定] → [インタフェース] → [Passwords] → [Save passwords protected by a master passwrod] で設定できる。
マスターパスワード機能をサポートしておらず、セキュリティ上の大きな問題としてパスワード文字列は何の処理も施されないまま設定ファイルに生身の状態で保存されます。
- ☆ マルウェアがアカウントを引っこ抜く時の設定ファイル「sitemanager.xml」「recentservers.xml」「filezilla.xml」
- Windows Vista/7/8 → C:\Users\[ユーザー名]\AppData\Roaming\FileZilla\ 〜
- Windows XP → C:\Documents and Settings\[ユーザー名]\Application Data\FileZilla\ 〜
FFFTP の代わりとして薦めるページがありますが、この事実について触れてないところが結構多く、仮にもパスワードを保存するようにしておくと、それを保護する仕組みが FileZilla に用意されてないので逆に危険です。
![FileZillaの[ログオンの種類]を「通常」にしてしまうと、ウイルスが引っこ抜き放題な生身のパスワード文字列を設定ファイルにそのまま書き出して危険すぎ!](./image/xge4v4.png "「サイトマネージャ」ウィンドウで、[ログオンの種類(L)]を何となしに「通常」にしてしまうと、パスワードが設定ファイルにそのまま保存され危険!")
- ☆ FileZillaサイトマネージャーの右画面にある [一般]タブ → [ログオンの種類(L)]
- [通常] ⇒ パスワードが保存されます 設定ファイルから抜き放題
- [パスワードを尋ねる] ⇒ パスワードは保存されません 安全
FileZilla の使い方を解説するサイトの中には、ウイルス対策だのガンブラー対策だのとして紹介しておきながら、パスワードが保存される説明をのせるトンチンカンなところも複数見かけます。 (;д;)
◆ WinSCP by Martin Prikryl
世界で定番のソフトの1つ。マスターパスワード機能をサポートしており、アカウントを保護するには機能の利用が必須です。
◆ その他のWindows用FTPソフト
- ALFTP
... FTP/SFTP接続 、 マスターパスワード機能あり
- Cyberduck
... FTP/FTPS/SFTP接続
- FireFTP for Firefox
... FTP/FTPS/SFTP接続
- FTP Rush
... FTP/FTPS/SFTP接続
無料系ホームページサービスの対応状況 (雑メモ)
有償レンタルサーバーだと少ないけれど、無料系だと素のFTP接続しか対応してないところがあります。
| 無料ホームページ例 | |
|---|---|
| FTPS接続× | FC2ホームページ TOK2 |
| FTPS接続○ | land.to 忍者ホームページ SiteMix ウェブクロウ Xdomain XREA Yahoo!ジオシティーズ |
- FTP : 素のデータでやり取りするので容易に盗聴可能
FTPS (FTP over SSL/FTP over TSL) : 暗号化したデータのやり取りなので盗聴は不可能 - SFTP : 暗号化したデータのやり取りなので盗聴は不可能
