2010年2月9日

三輪信雄＝Ｓ＆Ｊコンサルティング 代表取締役

• Tweet
• 
• 
• 

　いわゆるガンブラーによる被害が新たな局面を迎えています。亜種がついにFTPソフトを直接狙い始めたのです。私も使っていたFFFTPという有名なFTPクライアントソフトがそれです。このソフトは、FTPアカウント情報を記憶しておいて、次回接続するときに自動的に送信してくれます。これは非常に便利な機能で、長い覚えられないパスワードを設定している管理者にとっては便利でした。

　しかし、FFFTPはソースコードが公開されているので、エンコードを施した状態でレジストリに保存しているパスワードをデコードする方法が既に広く知られています。エンコードされたパスワードを入力すると、クリアテキストのパスワードを教えてくれるホームページもあります。

　攻撃プログラムはこのパスワードを読み出して悪用してしまうのです。対策として最初に流れた情報は、設定をテキストファイルに書き出せばいい、あるいは使用をやめて他のクライアントソフトに乗り換える、暗号化された通信ができるFTPソフトに乗り換える、など交錯していました。しかし、結局はパスワードをどこかに保存している限りこの問題は解決しません。

　こういった攻撃に対する対処には、一時的な対処と恒久的な対策があり、現在ネットで流通しているのは一時的な対策がほとんどなのです。

　他のソフトに乗り換えたところで、パスワードを保存する設定にしている限りパスワードが盗まれるという脅威は何ら変わりません。通信を暗号化したところで、パスワードが保存される設定のままで使っていれば対策にはなっていません。

　もっと困ったことに、一般に使われているホームページ作成ツールのほとんどがパスワードを保存できて、かつ、多くのホームページ作成者がそれを使っている、ということです。

　クラウドサービスによる無料、あるいは安価なホームページ開設が続いている今、一般のブログなどのホームページの作成には、多くの場合、ホームページ作成ソフトが使われています。これらソフトに対し「類推できないパスワードを設定し、ソフトに記憶させず、毎回手動で入力する」という対策を広めるのは無理でしょう。

　つまり、大企業のサイトだけでなく個人のホームページも、閲覧しただけで感染してしまうウイルスをこれからますます配布してしまうことが容易に想像できてしまうのです。

　この問題はホームページ作成ソフトだけの話ではありません。パスワードを保存している全てのアプリケーションに該当します。

　保存されているパスワードが推測困難な方式で暗号化されている場合でも、結局はクリアテキストに一度デコードしてから、そのままあるいは暗号化してFTPサーバーに送信されますから、クリアテキストに一度変換されたときに盗まれてしまう可能性もあります。これらHookという技術を使えば実現できます。特定の関数に割り込んでパラメータを盗んでしまうのです。この手法を使われると、パスワードが保存されていなくてもパスワードが盗まれます。

　FTPのアカウントが狙われるのは、ホームページでウイルスを感染させるためですから、個別の企業や個人の情報を盗み出そうとした場合には、パスワードを保存していて多くの方が使っているメールも対象になるかもしれません。

　しかもこれらの攻撃の元となる脆じゃく性についてはパッチがメーカーから配布されるまでに1カ月近くかかるケースもあり、とてもじゃないですが、安心してホームページを閲覧することはできないのです。ウイルスワクチンも十分に検出が間に合うという状況ではありません。

　こういった事態を踏まえて、一時的な対策として私は仮想マシン環境のベースOSをLinuxに切り替えました。その上で仮想コンピュータを複数走らせるという力技です。

　サイトの更新や管理などをする端末ではインターネット閲覧禁止、メール受信禁止、ということは「必須」の時代がやってきたのです。

連載目次（新着順）

• （最終回）これからの企業におけるセキュリティ対策はこう変わる
• セキュリティポリシー、分厚い規定集から平易なマニュアルへ
• 「情報漏洩の形跡が見当たらない」は「情報漏洩がない」ではない
• グローバル企業のWebサイトを守るのが困難に
• ソニーの情報漏洩に悪用されたSQLインジェクションとは

 目次一覧へ

関連記事

検索中

ガンブラー

column_LEAF

1010959

キーワード

ガンブラー

節電と事業継続計画の策定を支援する「節電・BCPオンライン」をスタート