JPCERT/CCがGumblarによる情報流出に注意喚起

FTPソフトに加えIE6では「オートコンプリート」のアカウント情報も流出

2010/02/03

 JPCERT/CCは2月3日、いわゆる「Gumblar(8080系)」ウイルスへの感染によって、コンピュータ内に保存されているアカウント情報が盗み取られる危険性について、改めて注意を促した。Gumblarに感染すると、FTPクライアントソフトが保存する情報に加え、Internet Explorer 6のアカウント管理機能を用いて保存されているID/パスワード情報も、盗み取られる危険にさらされる。つまり、GmailやTwitterなど、さまざまなWebサービスを利用するためのアカウント情報が盗み取られる恐れがあるということだ。

 Gumblarは、脆弱性のあるPCを攻撃して侵入するマルウェアだ。既存のWebサイトを改ざんし、見た目は変わりなくともバックエンドで悪意あるサイトに誘導して感染させるため、ユーザーがそれと気付くのは難しい。いったん侵入すると、次々に新しいマルウェアをダウンロードしてさまざまな活動を行う。一例として、偽のセキュリティ対策ソフトの購入を迫るようなウイルスが発見されているほか、クライアントPC内に保存されたID/パスワード情報を盗み出すケースが報告されている。後者の場合、盗んだIDを使ってなりすましのアクセスを行い、さらに多くのWebサイトを改ざんしていると見られる。

 つまりGumblarに感染してしまった場合、コンピュータのレジストリ内に保存されている情報が読み取られ、外部サーバに送信される恐れがある。JPCERT/CCでは、複数のFTPクライアントおよびWebブラウザで、アカウント情報が盗み出されたことを確認し、そのソフトウェア名を公表した。具体的には以下の通りだ。

FTPクライアント

  • ALFTP 5.2 beta1
  • BulletPloof FTP Client 2009.72.0.64
  • EmFTP 2.02.2
  • FFFTP 1.96d
  • FileZilla 3.3.1
  • FlashFXP 3.6
  • Frigate 3.36
  • FTP Commander 8
  • FTP Navigator 7.77
  • FTP Now 2.6.93
  • FTP Rush 1.1b
  • SmartFTP 4.0.1072.0
  • Total Commander 7.50a
  • UltraFXP 1.07
  • WinSCP 4.2.5

 これらのFTPクライアントを利用している場合は、PCに保存してあるアカウント情報が盗まれる恐れがあるため、接続のたびに毎回パスワードを入力するなど、運用面で対策を講じることが一助になる。また、FTPでアクセスできる接続元をIPアドレスで制限することも、万一に備えた対策と言える。さらに、FTPプロトコルは盗聴のリスクも抱えているため、FTPに代えて、より安全なプロトコルであるSFTP(SSH File Transfer Protocol)やFTPS(File Transfer Protocol over SSL/TLS)を採用することが、より根本的な対策といえる。

Webブラウザ

  • Internet Explorer 6
  • Opera 10.10
gumblar01.jpg 感染すると、IE6の設定の「コンテンツ」タブにある「オートコンプリートの設定」で保存しているIDやパスワード情報が盗み取られる恐れがある

 Webブラウザのアカウント管理機能では、ベーシック認証やフォームに直接入力するタイプのID/パスワード情報を保存し、目当てのサイトにアクセスした際に自動的に入力できるようになっている。しかしGumblarに感染すると、そうした情報が盗み取られ、外部サーバに送信されていることをJPCERT/CCでは確認した。例えばIE6ならば「オートコンプリートの設定」で保存されるIDおよびパスワードがそれに当たる。

 なおJPCERT/CCによると、少なくともIE 7/8では、こうしたアカウント詐取は確認されていない。このため、IE6を利用している場合はバージョンアップが推奨される。しかし今後、別のブラウザのパスワード保持の仕組みを狙ったり、あるいはFTP以外にsshやPOP3、インスタントメッセンジャーなどのアカウントを盗むよう改変された新たな亜種が登場する可能性は否定できない。

 結論として、Gumblarへの根本的な対策は、クライアントPCの脆弱性を解消することだ。OSはもちろん、Webブラウザやそこで利用されているAdobe Acrobat/Reader、Adobe Flash Player、Java(JRE)といったプラグインソフトを最新のものにアップデートし、パッチを適用することで、Webサイトを介した攻撃を回避できる可能性が高まる。同時に、最新の定義ファイルにアップデートした状態でウイルス対策ソフトを利用することでもリスクを減らすことができる。

(@IT 高橋睦美)

情報をお寄せください:


@IT Special

- PR -

TechTargetジャパン

Security&Trust フォーラム 新着記事
  • 「セキュリティリサーチャー」って何をする人? (2017/5/26)
     ネットにはさまざまな脅威や脆弱性の情報もあふれている。そんな情報過多な状況から、有用な情報だけを選別し、正しく共有していくこともまた必要だ。WannaCry騒ぎ、Apache Struts 2脆弱性……そのとき「彼ら」は何をしていたのか
  • マルウェアを防ぐには出入口対策から――複数のセキュリティ技術で多層防御する (2017/5/24)
    人員リソースや予算の限られた中堅・中小企業にとって、大企業で導入されがちな、過剰に高機能で管理負荷の高いセキュリティ対策を施すのは現実的ではない。本連載では、中堅・中小企業が目指すべきセキュリティ対策の“現実解“を、特に標的型攻撃(APT:Advanced Persistent Threat)対策の観点から考える。
  • セキュリティ対策でモノを言うのは「スピード」、20秒以内で検知可能なローソン (2017/5/16)
    「脅威の侵入を100%防ぐのは不可能」という前提に立った新たなセキュリティ対策を模索してきたローソン。脅威の検知と一次対応を速やかに実行し、迅速なインシデントレスポンスを支援するツールを導入した結果、20秒以内に社員が利用する約7000台のPCから感染端末を検索する体制を立ち上げた。
  • 無線LANのただ乗りに「無罪判決」の驚き (2017/5/11)
    2017年4月、セキュリティクラスタが注目したのは先月に続いて「Apache Struts 2」の脆弱(ぜいじゃく)性。対応がよろしくない組織が目立ったためです。無線LANのただ乗りに対して「無罪判決」が出たことにも、話題が集まりました。
- PR -

イベントカレンダー

PickUpイベント

- PR -

アクセスランキング

もっと見る

ホワイトペーパーTechTargetジャパン

注目のテーマ

Security & Trust 記事ランキング

本日 月間
ソリューションFLASH