脆弱性に関するmemo(2/4)
■ FTP アカウント情報を盗むマルウエアに関する注意喚起 (JPCERT/CC, 2/3)
ガバっとコピペで引用...
I. 概要
昨年より、FTP アカウントの盗用に端を発して、Web サイトが改ざんされ、
意図しない JavaScript を埋め込まれる事象や、改ざんされたサイトを閲覧し
たユーザのコンピュータがマルウエア(いわゆる Gumblar ウイルスなど)に感
染する事象が多数発生しています。
JPCERT/CC にて本攻撃に使用されているマルウエアを解析した結果、これま
でに判明していた通信の盗聴機能に加え、コンピュータ内に保存されているア
カウント情報を窃取する挙動を確認しましたので、対策を周知する目的で本注
意喚起を発行いたします。
II. 詳細
本攻撃に使用されているマルウエアに感染すると、ユーザのコンピュータ内
に保存されているアカウント情報が読み取られ、外部のサーバに対し送信され
る可能性があります。
このアカウント窃取の対象となるソフトウエアは、FTP クライアントを含む
複数の製品にのぼります。JPCERT/CC では、以下の FTP クライアントにてマル
ウエアによるアカウント窃取、および外部サーバへのアカウント情報の送信を
確認しました。- ALFTP 5.2 beta1
- BulletPloof FTP Client 2009.72.0.64
- EmFTP 2.02.2
- FFFTP 1.96d
- FileZilla 3.3.1
- FlashFXP 3.6
- Frigate 3.36
- FTP Commander 8
- FTP Navigator 7.77
- FTP Now 2.6.93
- FTP Rush 1.1b
- SmartFTP 4.0.1072.0
- Total Commander 7.50a
- UltraFXP 1.07
- WinSCP 4.2.5上記に加えて、以下の Web ブラウザのアカウント管理機能を用いて保存され
ている情報をマルウエアが窃取し、外部サーバに送信している事を確認しまし
た。- Microsoft社 Internet Explorer 6
(Internet Explore 7 および 8 ではアカウント窃取は確認されておりません)
- Opera社 Opera 10.10また、今後マルウエアが変化し、アカウント窃取の対象となるソフトウエア
が変化する可能性があります。
あら、WinSCP も入ってる...
さらに、IE6 と Opera 10.10 にも。
III. 対策
本攻撃で使用されているマルウエアは、複数のソフトウエアの脆弱性を使用
して感染します。現在判明している攻撃の対象となるソフトウエアは、以下の
通りです。- Adobe Acrobat、Adobe Reader
- Adobe Flash Player
- Java(JRE)
- Microsoft Windows などJPCERT/CC で確認している範囲では、現在攻撃に使用されているこれらソフ
トウエアの脆弱性は既に修正済みのため、各製品に対策済ソフトウエアを適用
することで、マルウエアに感染しないようにすることが出来ます。また、今後攻撃の対象となるソフトウエアが増えたり、使用される脆弱性が
変化したりする可能性があるため、ユーザは利用しているソフトウエアを最新
版に更新することを心がけてください。Web サイトの改ざんに対する対策は、以下の注意喚起をご参照下さい。
Web サイト改ざん及びいわゆる Gumblar ウイルス感染拡大に関する注意喚起
https://www.jpcert.or.jp/at/2010/at100001.txt
関連:
■ コンピュータウイルス・不正アクセスの届出状況[1月分]について (IPA, 2/3)
1. 今月の呼びかけ
「 "ガンブラー" の手口を知り、対策を行いましょう 」
■ アップルがiPhone OSのセキュリティアップデートを公開(アップル) (ScanNetSecurity, 2/3)
■ JVNVU#188937 GNU gzip における複数の脆弱性 (JVN, 1/29)
■ その他
- JVNVU#571860 Linux カーネルの IPv6 jumbogram 処理に脆弱性 (JVN, 1/29)
- チェックしておきたいぜい弱性情報<2010.02.01> (日経ITpro, 2/1)