ライフハッカー.jpが持ち出したFFFTPの話題を見て思うこと

Tweet

本日の朝、ついったーのタイムライン上でこんな記事が紹介されていた。

「フリーFTPソフト『FFFTP』に、8080系のマルウェア感染と同時にID・パスワードを取得される危険性があるそうです」

※掲載当時の画像はこちら

今日(1/30)一日、自分のTL上ではこの話題が多かったのだけど、
「すぐFFFTPをアンインストールしなくては！」と誤解というか煽るようなつぶやきが多くあったのは残念な限り。

ライフハッカー.jpの引用したエントリの伝える問題はFFFTPの設定を1つ変えるだけで、回避できるんだよね。大した話ではない。

そして、本質的な問題はFFFTPの仕様ではないことが理解されていないのが残念だったり。

その一方で、「なるほど」と思わされるつぶやきもあった。

と言うことで、このままFFFTPを使う(のなら)上での設定や、もっと意識しなければいけないことや、もろもろの思ったことをついったー上のつぶやきを引用しつつ、つらつらと書いてみた。

※1/31追記あり

Sponsored Link

ライフハッカー.jpは以下のように「UnderForge of Lack」の内容を引用している。

FFFTPは非常に優れたフリーのFTPクライアントでした。本当に感謝いたします。
しかし、 Version 1.96d [2008/9/23]を最後に更新停止されており、レジストリに ID/Password/接続先 を書き込むため、現在 8080系のマルウェアによって、感染と同時に窃取される危険性があります。
これまでの使用実績に感謝しつつ、ソフトをアンインストールし、以下のレジストリを必ず消去してください。

この記述は望ましくないと思う。だからTL上で(お前の観測範囲でだろ！という突っ込みはなしね)「FFFTPは危険なのか、だめだな、どのFTPクライアントに乗り換えようか」的な誤解に基づくつぶやきが多くなったのだと思う。

上記引用部の「レジストリにID/Password/接続先を書き込むため」について言えば、ついったーでもつぶやいたけど、レジストリにID/Password/接続先を書き込む」のが危険ならば、レジストリでなくiniファイルに設定を保存すればいい。「オプション」＞「環境設定」＞「その他」でチェックを入れるだけのこと。
こんな風に。

ここで「危険だよ、注意してね」と指摘すべきはFFFTPを狙うというマルウェア(今回挙げられているのはGumblar)の存在のはず。意図してかどうか分からないけれど、FFFTPを槍玉に挙げるのはおかしい(FFFTPがまず狙われていたのは事実らしいけど)。

その手の情報をレジストリに書き込むアプリケーションはFFFTPだけじゃないし、レジストリにしか情報を保存できない仕様のアプリケーションだってあるだろう。

後述するように、iniファイルに情報を保存すれば安全だということではないのだが、FFFTPでのレジストリの使用について言うならばこういうこと。

で、時間を追うごとにプロトコルの話題が増えて「FTPS/SFTPなら安心だ、対応しているFTPクライアントに変更するべきだ」的なちょっと短絡的なつぶやきがみられた。

勿論、FTPS/SFTPの方がより安心だけど、これも接続情報をレジストリに保存していれば同じ危険に晒される訳だし、そもそも世間のサーバのどれほどがFTPS/SFTPに対応してるのだろうか？この数値についての情報は見てないけれど、サーバが対応していなければユーザがFTPS/SFTPを使いようもないことだ。

それに関して、「今日のFFFTPの話題とSFTPの話題って別のことだけど混同している人がいそうな気が。」とつぶやいたら、識者のお二方からこんなつぶやきが。

・hiro: @kira88 まぁ、ウィルスにパスワード盗まれれば、SFTPでも意味はないですねー。
・otsune: @hiro sftpなのにパスワード認証使うの？　秘密鍵・公開鍵を使えば良いんじゃないかな
・hiro: @otsune それも鍵盗まれたら終わりじゃないかな
・otsune: @hiro id_rsa.pubならいくら盗まれても関係ないんじゃないかな？ id_rsaはものすごい勢いで大事に扱うもんだし

このやり取りは内容も分かりやすく「あぁ、そうだよね」と思わされた。

つまり、以前から口にしていることなんだけど、「どんなセキュアなシステムを組んでも、ID/パスワードを付箋に書いてディスプレイ脇に貼る様な人はいなくならないからねぇ。そういう啓蒙のほうが重要だと思うんだよね。」ということ。
ID/パスワード的なものは(個人情報も同じ)技術的な知識がなくてもソーシャルハックで盗めちゃうことも往々にしてあるし、「ID/パスワードを付箋に書いてディスプレイ脇に貼る」ような自爆的なユーザ例はよくある話。技術論以前だよね。

少しだけ技術的な話に戻すと、情報の保存場所がレジストリだろうとiniファイルだろうと、そこにある情報を引っこ抜くマルウェアに引っかかったり、キーロガーを仕掛けれられてしまったりすれば、どんなアプリケーションも同様に危険だということが、なかなか理解されていない状況が恐ろしい。
FTPS/SFTPを使えばネットワークキャプチャで情報を解析される可能性は減らせるから、なるべくFTPS/SFTPを使うべきとは思うけど、前述のようにすぐにそうはできない場合もある。

「サーバ運営側もアクセスする側の一般ユーザも、その手のマルウェア・トラップに気をつけよう」という前提を書かずに「FFFTPから別の(ライフハッカー.jpで紹介されているような)FTPクライアントに乗り換えればいいんだな」と思わせる記述は、FFFTPの作者さんにも失礼だし、多くのFTPクライアント使用者に誤解を与えるばかりだし、事態の改善に混乱を与えるばかりだろう。
(レジストリキーの削除の説明はとても親切で素晴らしいけどね)

そういえば、夕方(自分が気がついたのは17時過ぎだったかな)になってFFFTPの作者さんはこの件についてアナウンスを出したね。

FFFTPをお使いの方に重要なお知らせ – Sota’s Web Page (FFFTP)

ちょっとそっけない印象だけど、必要かつ充分な対応だと思う。これ以上できることはない。自分も「FFFTPがFTPS/SFTPをサポートしてくれるといいな」とは思うけど、それを決めるのは作者さんだし。

※1/30追記
FFFTPの作者さんが本件について、FFFTPの利用者に向けて詳しい対策方法を公開してくれました。
FFFTPを利用したことのある方はこちらを確認して、各自対策をしてください。

Sota’s Web Page (GumblarによるFFFTPへの攻撃について)

——-

と、纏まりなくダラダラと書いてしまったけど、何かの偶然でこのエントリを読んだ人を経由してFFFTPへの誤解が解けるとか、セキュリティについて一考するきっかけになったらいいな。

しかし、この時間になっても、前述のような誤解を持ってしまった人のつぶやきがTL上に多く見られるのはよくないな。何時になったら収まるのか(完全にはなくならないだろうけど)。

最後にエントリを書き上げてから(！)見つけた参考リンクなど。

■窓の杜 – 【NEWS】「FFFTP」のパスワードが“Gumblar”ウイルスにより抜き取られる問題が発生
さすがの良記事。後半の「“ソフトを乗り換えればいい”ではなく、根本的な“Gumblar”対策を」以降はたくさんの人に読んで欲しいなぁ。これ、アップされたのは1/30の20:27か。

■@ockeghemさんのこれ以降のつぶやきがいろいろと参考になるというか示唆に富むというか。要するにそういうことです、はい。
※thanks for @akitsukada(ここまで書いて、今ようやく気がついた・・・)

Tweet