FTPクライアントのアカウント情報を盗むマルウェアに注意 66
ストーリー by hylom
パスワードは保存せず、できればSFTP/FTPSを利用しよう 部門より
パスワードは保存せず、できればSFTP/FTPSを利用しよう 部門より
あるAnonymous Coward 曰く、
フリーソフトウェアの人気FTPクライアント「FFFTP」で保存したアカウント情報を盗み取るマルウェアが話題になっている。FFFTPの作者はこれを受けてWebページに「お知らせ」を掲載、(サーバー側がSSLに対応している場合は)SSL対応FTPソフトへの切り替えやパスワードを保存させない、などの対策を行うよう伝えている。
なお、対策として別のFTPクライアントへの乗り換えをすすめる意見もあるが、ほかのFTPクライアントについても同様にアカウント情報を盗まれる可能性があるため、FTPクライアントを変更するだけでは抜本的な解決にはならない。また、FTP通信が盗聴されてログイン情報が盗まれるケースもあるようだ。FTPは平文で認証情報を送信するため、可能な限りSFTPやFTPSといった暗号化通信を行うプロトコルを利用し、またクライアント側にはパスワードを保存させない、もし保存させていたらそれをクリアしておく、といった対処が必要だろう。
そもそもマルウェアを拾った時点で (スコア:3, すばらしい洞察)
マルウェアを自機に招き入れた時点で、自分の権限でできる何をされてもおかしくはないと思うんだけど。
現時点における主要ターゲットがその人気FTPクライアントであることは事実だろうけど、乗り換えたところでそれは
「Macなら安心」程度の対策でしかない。
Re:そもそもマルウェアを拾った時点で (スコア:3, 参考になる)
Mac OS X 10.5 から Keychain.app に ssh-agent の機能が追加されたので、私はここに SSH の鍵を登録して安心しています。(使い方は man ssh-add しましょう)
# という話ではない?
Re: (スコア:0)
という話ではない。
Re: (スコア:0)
Re:そもそもマルウェアを拾った時点で (スコア:2)
そのためのパスフレーズとパスフレーズのキーチェインへの保管でしょう。
キーチェイン自体 (~/Library/Keychains/*) だって盗まれる可能性はありますが、ログインパスワードで暗号化されているので簡単には割れないというお話です。
キーチェーンアクセス (スコア:1)
今手元になく記憶に頼って書いているので曖昧ですが、たしか、
Mac OS X のキーチェーンアクセスは、キーチェーンへのアクセスが発生したとき、
ログインパスワードとキーチェーンのパスワードが同一であれば何の入力も求めてきません。
異なっている場合はキーチェーンパスワードの入力を求めてきます。
通常はログインパスワードとキーチェーンパスワードは同一なので聞かれることはありませんが、
アカウント情報をLDAPサーバとかに依存しているような場合(学校とか企業とか)だと、
キーチェーンパスワードの入力を要求されることがありますね。
# キーチェーンパスワードを変更してあげればもちろん入力要求されなくなります。
Re:そもそもマルウェアを拾った時点で (スコア:1, すばらしい洞察)
OTPを使って別計算機でレスポンス計算すれば「少しは安全」程度かな。
Re:そもそもマルウェアを拾った時点で (スコア:2, 参考になる)
OTPを使って別計算機でレスポンス計算すれば「少しは安全」程度かな。
その別計算機にキーロガーが仕込まれて...
という、エンドレスな話はさておいて(そもそも、キーロガーを入れられた上で安全な通信、というのは絶望的だと思いますが)、キーロガーって、そんなに簡単に入れられるのかなぁ。例えば、Windows の制限付きユーザで利用していた場合、Windows 自体の脆弱性で権限のエレベーションがある、という場合を除いて、任意のアプリケーションのキー入力を取得する、という事は出来る? もちろん、管理者権限を持つユーザで作業したときに突っ込まれた、というのはあり得るだろうけど、管理者権限を持つユーザを介さない形で、キーロガーを仕込めるかどうか。
まぁ、実態として、管理者権限を持ったユーザで普通に利用している人が多いとは思うが...。Vista 以降なら UAC が障壁になることも有るだろうけど、UAC を無効にするバッドノウハウも広く使われている気がするし...。
Re:そもそもマルウェアを拾った時点で (スコア:2, 参考になる)
Windowsでは、同じデスクトップで動作している任意のアプリケーションから、管理者権限なしでキー入力を盗みとれます。これはWindowsの仕様で、これに依存したアプリが星の数ほどあるのでどうしようもありません(Vistaから少しはやりにくくなってますが)。また安易に完全禁止してしまうと、たとえばソフトウェアキーボードやIMEや障害者用のアクセシビリティツールはどうしたらいいのだという問題が発生します。
こちらの、想定されるウィッシュリスト [hatena.ne.jp]を見ればわかるように、あらゆるアプリケーションに影響が及ぶOSの仕様変更は簡単ではないのです。
Re:そもそもマルウェアを拾った時点で (スコア:1)
たとえばソフトウェアキーボードやIMEや障害者用のアクセシビリティツールはどうしたらいいのだという問題が発生します。
あっ、そりゃそうですね。
特定のアプリケーションに向けられたキー入力に対して、横取り出来るプログラムをホワイトリストで指定する、みたいな仕組みがあると良いんだろうけど、難しそうだなぁ...
Re: (スコア:0)
UACの前例をみる限り、「ホワイトリストに追加しますか?」の連発を鬱陶しく思って機能そのものを切られるか、思考停止して無条件で「はい」を押す様になるだけのような気が。
#教訓。どんなにしつこく警告を出しても、見ない人にとっては何も映っていないのと同じ。
ハードウェアキーロガーとか (スコア:0)
Re:そもそもマルウェアを拾った時点で (スコア:1)
# この一見普通の小物入れ、実はここをこうやってこうやってこうやると、奥の隠し引き出しが開きます。
# ここに仕舞っておけば、誰にも見つけられずに安心ですね! ってテレビショッピングでやってて吹いた。
# おもいきり宣伝しちゃだめだろ。
ブラウザにパスワード保存させてたりも(おふとぴ (Re:そもそもマルウェアを拾った時点で (スコア:1)
マルウェアじゃないけど、ユーザアカウントを貸してくれる友達が多くて驚く。
「ちょっとブラウザ使わせてー」「いいよー」みたいな感じで。
確認したこと無いけど、普通に保存されてる予感。
# Chromeだと、オプション>個人設定>保存したパスワードを表示。他ブラウザもだいたい同じ。
判ってれば当然なんだけど、ぼちぼち判らない人向けにこの手の設定って安全側に倒した設計にすべきなんじゃないのかなあ。マスターパスワード強制、みたいに。
あと平文でネットワークに流すプロトコル……は、もはやあんまり判ってない人は使わないか:-P
オープンソースでパスワード管理しているのが駄目だとなると (スコア:1)
Firefoxもアウト?
Re:オープンソースでパスワード管理しているのが駄目だとなると (スコア:3, 参考になる)
マスターパスワードを設定しないで保存していたら、原理的には FFFTP と同じです。マスターパスワードを設定すれば、それをキーに暗号化されるので、マスターパスワードを何らかの形で(キーロガーなり、ブルートフォースなり)取得しないと、保存しているアカウント情報からパスワードは取得出来ないはずです。
それよりも、FFFTP なんていう日本ローカルでメジャーなソフトのレジストリが漁られた、というのは意外な気がしたなぁ。同様のことは WinSCP でも FileZilla でも起こると思うのだが...。それとも、既に起こってる?
Re:オープンソースでパスワード管理しているのが駄目だとなると (スコア:2, 興味深い)
> 同様のことは WinSCP でも FileZilla でも起こると思うのだが...。それとも、既に起こってる?
Filezilla ではすでに起こっています。ネタ元のサイトに「Filezillaを使う場合、パスワードを決して保存しないでください」と書かれているのはそのため。
WinSCPについては現時点で確認されていないようですが、WinSCPもオープンソースですから(オープンソースでなくても多少時間稼ぎできるだけですが)対応されるのは時間の問題でしょう。もしかしたらすでに対応済みで、確認されていないだけかもしれません。
Re:オープンソースでパスワード管理しているのが駄目だとなると (スコア:2, 参考になる)
8080系でも有効かどうかは知りません
■10 FTP Clients Malware Steals Credentials From | Unmask Parasites. Blog.
http://blog.unmaskparasites.com/2009/09/23/10-ftp-clients-malware-stea... [unmaskparasites.com]
# 自分もネタ元のサイトで知りました。
# いつもお世話になっています。
Re: (スコア:0)
そんなに差別化できるものなのでしょうか
Re:オープンソースでパスワード管理しているのが駄目だとなると (スコア:1)
まだリストアップされていないのは...、NextFTP ぐらいしか思いつかない...
#まっ、遅かれ早かれ、だとは思うけど。
# 国産ソフトが3つもエントリーされていますね。
国内に作っている人間がいるのか、協力者がいるのか、日本通がいるのか...。もし、国内に作者がいた場合、なんの容疑で捕まえるのかなぁ
公開鍵認証 + 認証エージェントで ok (スコア:2)
公開鍵認証と認証エージェントを併用する (たとえば Windows 版 FileZilla なら PuTTY [yebisuya.dip.jp] に付属する pageant を使う) ことで、FileZilla 側には一切パスワードを入力せずに接続できるようになります。
Re:オープンソースでパスワード管理しているのが駄目だとなると (スコア:2, すばらしい洞察)
>マスターパスワードを何らかの形で(キーロガーなり、ブルートフォースなり)取得しないと、保存しているアカウント情報からパスワードは取得出来ないはずです。
これは正しいけど、「保存しているアカウント情報から」取得できないだけで、ftpやhttpなど平文パスワードの通信方式なら「通信から」取得できる(そしてそれはマルウェアが入ってる時点で可能)ので、マスターパスワードの設定さえすれば安心という誤解を招くのでは
この書き方も、平文でないSFTP,FTPS,SSLなら安心という誤解を招きかねないが、これらは「通信から」取得できなくても「キー入力から」取得できる(そしてそれはマルウェアが入ってる時点で可能)ので、結局#1711741 [srad.jp]の言うようにマルウェアが入った時点で何やってもだめ。Gumblarはそこまで見ないようだからadhocな対策にはなるかもしれないけど。
Re: (スコア:0)
Re:オープンソースでパスワード管理しているのが駄目だとなると (スコア:1, すばらしい洞察)
保存してなくても、ユーザー入力するならロガー仕込まれたら盗まれる。
どちらにしても、侵入されたりマルウェア仕込まれる状況になったら、盗まれるリスクは同じ。
ロガーは使わなければ大丈夫かもしれんけど、そんなものは侵入された後では誤差の範囲
Re:オープンソースでパスワード管理しているのが駄目だとなると (スコア:1, 興味深い)
オープンソースであろうがなかろうが感染した時点でアウト。こういうのは暗号化ではなく難読化というべきですね。
Windows Vista以降であれば保護モードを突破されない限りマルウェアから設定を読まれないような対策は可能ですが(参考 [hatena.ne.jp])、現時点で保護モードに対応しているブラウザは純正のIEくらいしかないような。あとインストーラがレジストリに一行追加するだけでプラグインを保護モードから抜け出させることが可能なので、プラグインの開発元が手抜きしていると台無しです。
Re:オープンソースでパスワード管理しているのが駄目だとなると (スコア:1, 参考になる)
Google Chrome [google.co.jp] も対応しています。
参考: How to run Firefox in Protected Mode? (i.e. at low integrity level) [superuser.com]
Re: (スコア:0)
オープンソースか否かは全く問題ではありませんね
むしろパスワードで管理すると言うイフタフ ヤー シムシム的なものは既に時代遅れでしょう
Re: (スコア:0)
オレ様エンコード/デコードしているので解読された。
それなりのAPI(CryptProtectData APIとか)を使っていれば製造者責任は問われない
し、APIのバージョンアップも期待できるのに。
Re: (スコア:0)
FFFTPは歴史長いソフトだし、未だにWin9x系を対象に含めているので
Win2000以降から導入されたCryptProtectDataを使うのは難しかったのでは?
Re: (スコア:0)
製造者責任は知らないのでおいといて、
CryptProtectData API使ってても暗号化のキー情報が何処かに保存されていれば安全とは言えないですよね。
#ただし同一ユーザに限る
パスワードを保存しなかったら (スコア:0)
今度はキーロガーに盗まれる可能性がありますし、キーロガーを備えたGumblarの亜種はすでに存在したという噂もありますが、少なくともFTPクライアントを起動すらしていないのに感染した瞬間盗まれることはなくなります、くらいは書いておかないと。
それに、基本的に「感染した時点で負け」なんだから感染しないための対策(各種パッチで最新にしておく、ゼロデイが発見されていても更新が遅い上自動更新の仕組みもないAdobe ReaderのJavaScriptは無効にしておく等)を書いておくべきでしょう。
それにしても「オープンソースだから暗号を解読できます」と(しかも作者本人が)書いてるのってどうなの。マルウェア作者はリバースエンジニアリングが違法かどうかなんて気にしませんよ? WinnypやPerfect Darkの暗号はどうやって解読されたと思ってるんでしょうか?
Re:パスワードを保存しなかったら (スコア:3, 参考になる)
FFFTP作者さんの発言 [biglobe.ne.jp]は、
と、「ソースから解析することができる」とおっしゃっているだけです。
違法かどうかを言っているのではなく、「(逆アセンブルなどのリバースエンジニアリング手法を用いる必要がある)ソース非公開プログラムより、解析の難易度が低い」ということでは?
Re: (スコア:0, 参考になる)
確かにオープンソースでなかった場合のことについて何も言っていないというのは論理的には正しいのですが、現に「オープンソースだから云々」という流言飛語が飛び交っているところを見ると、ちょっとうかつな発言だったと思います。じゃあ「ALFTP [vector.co.jp]に乗り換えれば安心だね」とか考えられると有害ですらあります。
# そんなこと考える奴が悪い? それを言ったらそもそもGumblarに感染する奴が悪いでしょ。Gumblarに感染するバカが相手であることが前提なのをお忘れなく。
ただ作者本人が「感染した時点で何しても無駄です」とか言っても居直りとしか受け止められない可能性があるのが難しいところですね…。
Re: (スコア:0)
この行ですか。ソースを解析すれば可能と書いてるんだから正解だと思いますが。バイナリを解析しても可能でしょうけど。
マスターキーを起動時に入力させればいんじゃ?とも思いますが、パスワードをレジストリ保存するユーザーはそれもウザイんでしょうね。
ターゲットにされたソフトの作者としては、イタチごっこだとしても何らかの対応は求められるわけで、今後も戦いは続きそうですね。
Re: (スコア:0)
リンク先は (スコア:0)
ちゃんと他のソフトにしてもこうなるよっていう
説明をしてあるし。
geocitiesやfc2とか無料webスペースを提供してるところは
FTPしか使えないのがほとんどだし、ロリポなんかの初心者向け
レンサバもそうだよね。
どうなることやら。
Re:リンク先は (スコア:2, 興味深い)
そうなのだけど。
わたしの周りでは、乗り換えればOKだと思う人が続出してました。
FFFTPの脆弱性と思った人が多い。
伝言ゲーム? (スコア:1)
同じく、最初聞いた時はFFFTPの脆弱性かと錯覚しました。
という前提つきの話なのが、前提になっているGumblarの亜種の話がすっぽ抜けて「FFFTP」「FTPパスワードが流出」の部分だけでインパクトのある噂として伝わっている(?)ため、「FFFTPの脆弱性により、FTPパスワードが流出する(KB******、緊急)」みたいな話である、という誤解を招いている印象があります。
Re: (スコア:0)
「Winnyを使わなきゃいいんでしょ」と同じメンタリティですよ。「じゃあShareで」「Perfect Darkで」「Freenetで」というところまでそっくりだし。ある意味そういう認識を定着させてしまったWinnyの責任かも。
Re:リンク先は (スコア:2)
マスコミやセキュリティ関係者、システム管理者その他諸々だと思うね。
包丁で殺人はできるのと同様に、銃やバールのようなものやトンファーでも
殺人ができると人々が認識しているのは包丁のせいではない。
#トンファー言いたいだけだったのでID
Re: (スコア:0)
そこまで牽強付会されると最後の一段だけ「ところで」と政権批判を始めるわけのわからないコラムと変わらない。
winnyにかこつければ何でも悪イメージにできるって論理も十分衆愚的だと思うんだ。
乗換えを推奨しているのはこちら (スコア:2, すばらしい洞察)
暗号化通信により安全にファイルを転送できるFTPS/SFTP/FTPクライアント「FileZilla」 - SourceForge.JP Magazine [osdn.jp]
以下、リンク先の記事より引用。
これ、普通は「SFTPやFTPSの使えるFileZillaなら安心」と読むよね。FileZillaにも同様の問題が起こる可能性はある [srad.jp]という話なのに。
このFileZillaの紹介記事へのリンクが、SF.JP Magazineの最新記事(1/30の記事なんですよ、これが)として/.Jのトップに今回のストーリーと同時に表示されてるのは、はっきり言って性質が悪いと思う。
Re: (スコア:0)
ぶっちゃけて言いますけど、もし私がウィルス作者だったら、この記事を見たら迷わずFileZillaをクラックする亜種を作りますよ。
植木鉢の下に鍵を隠すのは危険だから、複製しにくい鍵を使いましょう (スコア:0)
私もこの記事読んだときにえっ?っと思った。
「植木鉢の下に鍵を隠すのは危険だから、複製しにくい鍵を使いましょう」
って感じか?
Re: (スコア:0)
Firefox 3.6もひどい [fc2.com]ですよ。
# 知ってたら止めたに違いないのでAC
geoについて(Re:リンク先は) (スコア:1)
>geocitiesやfc2とか無料webスペースを提供してるところは
geocitiesに関しては HTTP経由のファイルマネージャが使えます。
認証はhttps経由。yahoo共通のログインです。
http://geocities.yahoo.co.jp/filemanager [yahoo.co.jp]
EXアップロードでアップもできます。ブラウザがあればFTPが使えなくても問題ありません。
今回の件に関するお知らせも1月13日付で出ています。
http://geocities.yahoo.co.jp/v/info/index.html [yahoo.co.jp]
昔のgeoのFTPは、yahooとは別のパスワードだったですが、前に統合されてしまいました。
そのかわりFTPに対して、ログインを試みると「ログイン履歴」に [yahoo.co.jp]
「ジオシティーズ(※)」として日時、接続元IP、認証結果などが表示されるので、外部から攻撃されたときは分かります。
ただし、今回のウィルスは感染時自分のPCからFTPで書き換えることもあるので、自分のログインと区別はつきません。
# いろいろ考えたけど一番安全そうなのは、「NET未接続/外部メディア系一切使用不可のPCからCD/DVDを焼いて
# 表面にサインを書きサーバ担当に郵送する(サーバーが同じ建物ならサイン郵送は不要)」ぐらいしか思いつかなかった
Re: (スコア:0)
亜種なんかで更新されるという状況も想定してちゃんと対策しましょうってことで
パスワード管理ツール (スコア:0)
keepass などのパスワード管理ツール使えばいいのに。
この手の手口には効果あるんだけどな。
クライアントPCのハードディスクにはクリアパスワードは一切記録しない
ようにして最終的に暗号化されだデータベースで記録してその都度、
マスターパスワードで呼出す様にしている。
アプリケーション毎にクリアパスワード記録させるなんて
個人的には有り得ないけど、それが普通なんだよね。何を今更って感じ。
事業所など多数のPCがハブに繋がってる場所での気休めの対策 (スコア:0)
ハブがリピータハブか、スイッチングハブかを確認しましょう(古いハブならリピータハブの可能性あり)
リピータハブの場合、ハブに繋がってるPCのうち1台でもウイルスに感染した場合、他の正常なPCのFTP通信を傍受してパスワードを抜かれる可能性があります。
スイッチングハブなら、平文でのFTP通信でも↑みたいな盗聴は回避できるはずです。
ただし、FTP通信するPC自体がウイルスに感染していたり、ルータが乗っとられてる場合は無意味。
ルータが信用できない場合は暗号通信が有効。
FTP通信するPC自体がウイルスに感染している場合にパスワードを抜かれない絶対的な方法なんてありません
Re:事業所など多数のPCがハブに繋がってる場所での気休めの対策 (スコア:2)
>スイッチングハブなら、平文でのFTP通信でも↑みたいな盗聴は回避できるはずです。
ところがスイッチングハブの上位にバカハブがカスケードされててだなぁ…
#結局そういうレイヤーの話では、せめてプロミスキャスを検知しなきゃならん