ライフハッカー.jpが持ち出したFFFTPの話題を見て思うこと

Sponsored Link

本日の朝、ついったーのタイムライン上でこんな記事が紹介されていた。

フリーFTPソフト『FFFTP』に、8080系のマルウェア感染と同時にID・パスワードを取得される危険性があるそうです

掲載当時の画像はこちら

今日(1/30)一日、自分のTL上ではこの話題が多かったのだけど、
「すぐFFFTPをアンインストールしなくては!」と誤解というか煽るようなつぶやきが多くあったのは残念な限り。

ライフハッカー.jpの引用したエントリの伝える問題はFFFTPの設定を1つ変えるだけで、回避できるんだよね。大した話ではない。

そして、本質的な問題はFFFTPの仕様ではないことが理解されていないのが残念だったり。

その一方で、「なるほど」と思わされるつぶやきもあった。

と言うことで、このままFFFTPを使う(のなら)上での設定や、もっと意識しなければいけないことや、もろもろの思ったことをついったー上のつぶやきを引用しつつ、つらつらと書いてみた。

※1/31追記あり

Sponsored Link

ライフハッカー.jpは以下のように「UnderForge of Lack」の内容を引用している。

FFFTPは非常に優れたフリーのFTPクライアントでした。本当に感謝いたします。
しかし、 Version 1.96d [2008/9/23]を最後に更新停止されており、レジストリに ID/Password/接続先 を書き込むため、現在 8080系のマルウェアによって、感染と同時に窃取される危険性があります。
これまでの使用実績に感謝しつつ、ソフトをアンインストールし、以下のレジストリを必ず消去してください。

この記述は望ましくないと思う。だからTL上で(お前の観測範囲でだろ!という突っ込みはなしね)「FFFTPは危険なのか、だめだな、どのFTPクライアントに乗り換えようか」的な誤解に基づくつぶやきが多くなったのだと思う。

上記引用部の「レジストリにID/Password/接続先を書き込むため」について言えば、ついったーでもつぶやいたけど、レジストリにID/Password/接続先を書き込む」のが危険ならば、レジストリでなくiniファイルに設定を保存すればいい。「オプション」>「環境設定」>「その他」でチェックを入れるだけのこと。
こんな風に。

FFFTPの設定

ここで「危険だよ、注意してね」と指摘すべきはFFFTPを狙うというマルウェア(今回挙げられているのはGumblar)の存在のはず。意図してかどうか分からないけれど、FFFTPを槍玉に挙げるのはおかしい(FFFTPがまず狙われていたのは事実らしいけど)。

その手の情報をレジストリに書き込むアプリケーションはFFFTPだけじゃないし、レジストリにしか情報を保存できない仕様のアプリケーションだってあるだろう。

後述するように、iniファイルに情報を保存すれば安全だということではないのだが、FFFTPでのレジストリの使用について言うならばこういうこと。

で、時間を追うごとにプロトコルの話題が増えて「FTPS/SFTPなら安心だ、対応しているFTPクライアントに変更するべきだ」的なちょっと短絡的なつぶやきがみられた。

勿論、FTPS/SFTPの方がより安心だけど、これも接続情報をレジストリに保存していれば同じ危険に晒される訳だし、そもそも世間のサーバのどれほどがFTPS/SFTPに対応してるのだろうか?この数値についての情報は見てないけれど、サーバが対応していなければユーザがFTPS/SFTPを使いようもないことだ。

それに関して、「今日のFFFTPの話題とSFTPの話題って別のことだけど混同している人がいそうな気が。」とつぶやいたら、識者のお二方からこんなつぶやきが。

hiro: @kira88 まぁ、ウィルスにパスワード盗まれれば、SFTPでも意味はないですねー。
otsune: @hiro sftpなのにパスワード認証使うの? 秘密鍵・公開鍵を使えば良いんじゃないかな
hiro: @otsune それも鍵盗まれたら終わりじゃないかな
otsune: @hiro id_rsa.pubならいくら盗まれても関係ないんじゃないかな? id_rsaはものすごい勢いで大事に扱うもんだし

このやり取りは内容も分かりやすく「あぁ、そうだよね」と思わされた。

つまり、以前から口にしていることなんだけど、「どんなセキュアなシステムを組んでも、ID/パスワードを付箋に書いてディスプレイ脇に貼る様な人はいなくならないからねぇ。そういう啓蒙のほうが重要だと思うんだよね。」ということ。
ID/パスワード的なものは(個人情報も同じ)技術的な知識がなくてもソーシャルハックで盗めちゃうことも往々にしてあるし、「ID/パスワードを付箋に書いてディスプレイ脇に貼る」ような自爆的なユーザ例はよくある話。技術論以前だよね。

少しだけ技術的な話に戻すと、情報の保存場所がレジストリだろうとiniファイルだろうと、そこにある情報を引っこ抜くマルウェアに引っかかったり、キーロガーを仕掛けれられてしまったりすれば、どんなアプリケーションも同様に危険だということが、なかなか理解されていない状況が恐ろしい。
FTPS/SFTPを使えばネットワークキャプチャで情報を解析される可能性は減らせるから、なるべくFTPS/SFTPを使うべきとは思うけど、前述のようにすぐにそうはできない場合もある。

「サーバ運営側もアクセスする側の一般ユーザも、その手のマルウェア・トラップに気をつけよう」という前提を書かずに「FFFTPから別の(ライフハッカー.jpで紹介されているような)FTPクライアントに乗り換えればいいんだな」と思わせる記述は、FFFTPの作者さんにも失礼だし、多くのFTPクライアント使用者に誤解を与えるばかりだし、事態の改善に混乱を与えるばかりだろう。
(レジストリキーの削除の説明はとても親切で素晴らしいけどね)

そういえば、夕方(自分が気がついたのは17時過ぎだったかな)になってFFFTPの作者さんはこの件についてアナウンスを出したね。

FFFTPをお使いの方に重要なお知らせ – Sota’s Web Page (FFFTP)

ちょっとそっけない印象だけど、必要かつ充分な対応だと思う。これ以上できることはない。自分も「FFFTPがFTPS/SFTPをサポートしてくれるといいな」とは思うけど、それを決めるのは作者さんだし。

※1/30追記
FFFTPの作者さんが本件について、FFFTPの利用者に向けて詳しい対策方法を公開してくれました。
FFFTPを利用したことのある方はこちらを確認して、各自対策をしてください。

Sota’s Web Page (GumblarによるFFFTPへの攻撃について)

——-

と、纏まりなくダラダラと書いてしまったけど、何かの偶然でこのエントリを読んだ人を経由してFFFTPへの誤解が解けるとか、セキュリティについて一考するきっかけになったらいいな。

しかし、この時間になっても、前述のような誤解を持ってしまった人のつぶやきがTL上に多く見られるのはよくないな。何時になったら収まるのか(完全にはなくならないだろうけど)。

最後にエントリを書き上げてから(!)見つけた参考リンクなど。

窓の杜 – 【NEWS】「FFFTP」のパスワードが“Gumblar”ウイルスにより抜き取られる問題が発生
さすがの良記事。後半の「“ソフトを乗り換えればいい”ではなく、根本的な“Gumblar”対策を」以降はたくさんの人に読んで欲しいなぁ。これ、アップされたのは1/30の20:27か。

@ockeghemさんのこれ以降のつぶやきがいろいろと参考になるというか示唆に富むというか。要するにそういうことです、はい。
※thanks for @akitsukada(ここまで書いて、今ようやく気がついた・・・)

Sponsored Link

4件のコメント

  1. kira2010年1月31日 2:28 PM返信


    >otsuneさん

    ありがとうございます。
    今回はたくさん勉強させて頂きました。

    非常に分かりやすい例えですね。
    こちらも含めて。
    http://twitter.com/otsune/statuses/8440417881

    ユーザがリクエストを出す以前に、「S系?何それ?」なユーザの方が多いのが現状だと思います。
    そういうユーザに伝えていきたいですね。

    不衛生な食料品店や食品工場を思い浮かべました。これは困りますね。
    同様に、本件もコンシューマがクレーム・リクエストをつける以前に事業者側が当たり前のように手を打つべき/打ってあるべきものだと思いました。

    http://kira-ism.seesaa.net/

  2. otsune2010年1月31日 1:46 PM返信


    「平文転送を使わずにssl/sshで暗号化する」
    なんてのはシェル操作でtelnetをインターネット越しに使わなくなった前世紀から常識になっています。
    つまり「悪意の第三者から覗かれても(交通事故にあっても)致命傷を受けないように安全策を取りましょう(シートベルトやエアバッグを使いましょう)」という状態でしょうね。

    「まだまだ世の中にはシートベルトが無い車も走ってるんだよ! だから注意して外出することが大切なんだよ」はそういう意味で発想が大きく間違っています。

    正しいのは「s系の転送をサポートしない貸しサーバーはオカシイからサポートするべきだ」と全ユーザーがリクエストできるように啓蒙することですよ。
    事業者やシステム管理者が客をなめているからシートベルトを付けずに車を出荷するようなヒドイことをしちゃうんですよ。いまは何世紀なんだと。

    http://www.otsune.com/

  3. kira2010年1月31日 11:52 AM返信


    こんにちわ!

    hitさんの採られている方法はかなり安全性が高いですね!でも、運用が面倒であり、多くのユーザはこれを取り入れられないでしょうね・・・。

    一方で業務で使うようなものであれば、このレベルの管理は必然。年始に起きたアメブロ芸能人ブログのパスワード流出騒動を思い出します。

    安全性の確保は、ハックを仕掛ける者とのいたちごっこ。故に完璧な対策はありえないですが、常に気をつけたいものです。

    http://kira-ism.seesaa.net/

  4. Hit2010年1月31日 7:17 AM返信


    パスワードを付箋に書いて貼るのは少なくとも耐マルウェアという点ではiniファイルやレジストリに記録するより安全だと思いますよ。

    それは冗談として、私はユーザー名とパスワードは専用のノートに書いて持出厳禁で保管しています。多くのサービスでどれにどのユーザー名を使ったか忘れるし、パスワードなんかランダムに生成しているから全部は覚えようがないです。それをディスクに記録するのは耐マルウェア的に不安だから。

    こういう騒動がある度に思うのですが、コンピュータの世界ではまだまだ「外出すると交通事故に遭うかもしれないから家にこもるべし」的理論がまかり通っていますね。交通事故に遭わないよう注意して外出することが大切なのに。

    http://okanomail.wordpress.com/

コメントを残す

CaptchaCaptcha Reload