間違いだらけのGumblar対策
2010年2月11日
Gumblar攻撃に対する対策として、さまざまwebページで取り上げられているが、中には適切ではない対策方法を紹介してあったり、適切な方法を取り上げているのだけれど難しくて良く分からなかったりすることが多い。そこで、逆の発想として、どんな対処方法が間違っているのかを取り上げてみたい。具体的な対処方法は、次の記事で端的に説明することにする。
1)『怪しげなwebサイトを閲覧したりしないので、大丈夫。』
危険度:大
数年前だと、攻撃コードを含むようなwebサイトは一部のアングラサイトのようなものに限られていたが、最近では、有名企業のwebサイトが感染していた例が多く報告されている。
2)『使用しているPCはファイアーウォールの内部にあるから、大丈夫。』
危険度:大
Gumblarの感染は、webサイトを閲覧した時に起こる。通常のファイアーウォールは、webサイト閲覧をブロックしない。
3)『使用しているツールでは、FTPのパスワードを保存していない。毎回パスワードを打つことでFTP接続しているので、大丈夫。』
危険度:大
Gumblar攻撃の基本は、FTP通信の傍受である。いくらパスワードをツールで保存しないようにしてあっても、FTPを用いてサーバーと接続するときに、入力したパスワードがもれてしまう。
4)『使用しているツールでは、パスワードを高度に暗号化された方法で保存しているので、大丈夫。』
危険度:大
3と同じ。いくらパスワードが読み取り不可能な形で保存されていても、FTPを用いてサーバーと接続するときに、パスワードがもれてしまう。
5)『FTP通信は、仮想化環境内のPCから行っているので、大丈夫。』
危険度:大
いくらFTPを、仮想化環境内から行っても、その仮想化環境がGumblarに感染したPC内に有れば、仮想化環境からのTCP/IP通信を傍受される。
6)『SFTPなど、暗号化された通信手段を用いているので、大丈夫。』
危険度:大~中
SFTPツールでパスワードを保存している設定にしていれば、そのパスワードを抜き取られる可能性あり。パスワードを保存しないような設定にしてあったとしても、今後、キー・ロガーなどを仕込んだ亜種が出てくる可能性があり、その場合は打ち込んだパスワードが読み取られる。
7)『サイトの管理は、webページ上で行う。FTPは用いないので大丈夫。』
危険度:大~中
webページを管理する際のパスワードを盗聴される可能性がある。仮にSSLを用いているとしても、6で述べたように、キー・ロガーを仕込まれるとパスワードが読み取られる可能性がある。
8)『Mac (Linux)を用いているので、大丈夫。』
危険度:中
今後、MacやLinuxを攻撃対象とした亜種が出てくる可能性がある。
対策
1-8) OS、Webブラウザ、及びブラウザに付属の各種ソフト(Adobe Reader, Java ランタイム, Flash playerなど)を常に最新ものに保ち、ウイルス対策プログラムをインストールする。
3)4)SFTPなどの暗号化された通信手段を用いる。
5)FTP通信のほうではなく、web閲覧のほうを(あるいは、両方を)仮想化環境で行う。
6)ツールでパスワードを保存する設定にしない。できれば、web閲覧もしくはSFTP接続を仮想化環境内で行う。
実際に行いたい対処方法は、次の記事に。
1)『怪しげなwebサイトを閲覧したりしないので、大丈夫。』
危険度:大
数年前だと、攻撃コードを含むようなwebサイトは一部のアングラサイトのようなものに限られていたが、最近では、有名企業のwebサイトが感染していた例が多く報告されている。
2)『使用しているPCはファイアーウォールの内部にあるから、大丈夫。』
危険度:大
Gumblarの感染は、webサイトを閲覧した時に起こる。通常のファイアーウォールは、webサイト閲覧をブロックしない。
3)『使用しているツールでは、FTPのパスワードを保存していない。毎回パスワードを打つことでFTP接続しているので、大丈夫。』
危険度:大
Gumblar攻撃の基本は、FTP通信の傍受である。いくらパスワードをツールで保存しないようにしてあっても、FTPを用いてサーバーと接続するときに、入力したパスワードがもれてしまう。
4)『使用しているツールでは、パスワードを高度に暗号化された方法で保存しているので、大丈夫。』
危険度:大
3と同じ。いくらパスワードが読み取り不可能な形で保存されていても、FTPを用いてサーバーと接続するときに、パスワードがもれてしまう。
5)『FTP通信は、仮想化環境内のPCから行っているので、大丈夫。』
危険度:大
いくらFTPを、仮想化環境内から行っても、その仮想化環境がGumblarに感染したPC内に有れば、仮想化環境からのTCP/IP通信を傍受される。
6)『SFTPなど、暗号化された通信手段を用いているので、大丈夫。』
危険度:大~中
SFTPツールでパスワードを保存している設定にしていれば、そのパスワードを抜き取られる可能性あり。パスワードを保存しないような設定にしてあったとしても、今後、キー・ロガーなどを仕込んだ亜種が出てくる可能性があり、その場合は打ち込んだパスワードが読み取られる。
7)『サイトの管理は、webページ上で行う。FTPは用いないので大丈夫。』
危険度:大~中
webページを管理する際のパスワードを盗聴される可能性がある。仮にSSLを用いているとしても、6で述べたように、キー・ロガーを仕込まれるとパスワードが読み取られる可能性がある。
8)『Mac (Linux)を用いているので、大丈夫。』
危険度:中
今後、MacやLinuxを攻撃対象とした亜種が出てくる可能性がある。
対策
1-8) OS、Webブラウザ、及びブラウザに付属の各種ソフト(Adobe Reader, Java ランタイム, Flash playerなど)を常に最新ものに保ち、ウイルス対策プログラムをインストールする。
3)4)SFTPなどの暗号化された通信手段を用いる。
5)FTP通信のほうではなく、web閲覧のほうを(あるいは、両方を)仮想化環境で行う。
6)ツールでパスワードを保存する設定にしない。できれば、web閲覧もしくはSFTP接続を仮想化環境内で行う。
実際に行いたい対処方法は、次の記事に。