- 2010-01-30 (土) 17:22
- 気になるNews
日本語対応フリーFTPソフトの草分けと言っていい、Windows用フリーソフト『FFFTP』に、マルウェア感染およびID・パスワード・ホスト先の情報を抜かれてしまう危険性があると、bananaさんのブログ「smilebanana」で指摘されています。
さっそくTwitterでは「こわい!」「ショックだ…信じてたのに」「さっそくアンインストールした(キリッ」「乗り換えよう」というつぶやきが。LHは「WinSCP」「ALFTP」といっただいたいソフトを挙げているが、乗り換えれば安全かと言えばそんなことは全くない。
問題は3点。
1. 「FFFTP」 以外にもパスワードを保存するサービス・ソフトは無数にある
なかには「iniファイルに保存したから大丈夫!」という人もいたけど、原理的には保存する場所が変わっただけの話でたいした改善にはならない(それに対応した亜種が生まれれば終わり)。また、「FFFTP」を辞めたからと言って、標的がほかのソフトに移るだけの話なのでこれまた意味はない。
「FFFP」がパスワードをローカルへ保存する仕様を脆弱性とするならば、世にあるパスワード保存系のソフトはみんな脆弱性を持っている。なかには、パスワードを平文で保存しているものもあるぐらいだ。「FFFTP」はちゃんと暗号化して保存しているれけど、オープンソースなのでそのルーチンが公開されているからハックは容易なんだそうだ。
→ 極論すれば、ローカルにパスワードを保存すること自体がダメ。セキュリティと利便性は(基本的に)トレードオフの関係にあることをもう一度思い出す。徹底するなら、パスワードは毎回直打ち、加えてキーロガー対策機能のあるソフトウェアキーボードで入力すべき。
2. FTPプロトコル自体の脆弱性
FTPはID・パスワードを平文で送る。そもそも Gumblar は感染したPCから送られる FTP パスワードを盗聴・収集して FTPサーバーを乗っ取り、Webサイトを改ざんするモノなのだから、「FFFTP」とそれ以外のFTPクライアントを使うことにそれほど違うがあるとは思えない。FTPプロトコルは20年前、インターネットの古き良き時代に策定された古いプロトコルだということを思い出そう。
→ ID/Pass など通信内容を暗号化する SSL接続の利用を考えるべき。「WinSCP」に乗り換えてもFTPプロトコル使ってたら意味ないぞ!
3. そもそも Gumblar に感染したら終わり
Gumblar に感染すること、それはすなわちPCを好き放題されることに等しいと思った方がいい。
→ Gumblar に感染しない環境作りをしよう
- Windows Vista/7 を利用する(UAC機能、ASLR機能などを活用): Windows XP なんぞという化石OSは捨てろ。8年前のOSでインターネット使うな。
- プラグインはアップデートしよう: とくに Adobe Flash/AIR/Acrobat は標的にされやすいので注意。MSに頭下げて、Windows Updateで流しちまえばいいのに。
- まともなウイルス対策ソフトを導入する: 何がまともかは難しいけれど…検知率が高くても誤検知多い某ソフトとか、ゆるすぎて入れない方がましな某ソフトもあるし。
—
個人的には「FFFTP」を使い続けても問題ないと思う。Gumblar に感染しなければ。最近アップデートがないことを不安視する人もいるが、それは枯れているからであって、別に他意はないと思う。実際、前回脆弱性が見つかった場合はちゃんとバージョンアップしてるし、今回も作者の反応が早い。(17:00現在お知らせが出されている)
「FFFTP」に機能をる付け加えるなら、SFTP/SSL接続対応とローカルに保存できないマスターパスワード(パスフレーズによる設定の暗号化)機能ぐらいだろうか…
関連エントリー
- Newer: VPSサーバーでRadiantCMSをたててみたよ
- Older: 235658人目にフォローされました。
