hylomによる
2010年02月01日 11時28分の掲載
パスワードは保存せず、できればSFTP/FTPSを利用しよう部門より。
パスワードは保存せず、できればSFTP/FTPSを利用しよう部門より。
あるAnonymous Coward 曰く、
フリーソフトウェアの人気FTPクライアント「FFFTP」で保存したアカウント情報を盗み取るマルウェアが話題になっている。FFFTPの作者はこれを受けてWebページに「お知らせ」を掲載、(サーバー側がSSLに対応している場合は)SSL対応FTPソフトへの切り替えやパスワードを保存させない、などの対策を行うよう伝えている。
なお、対策として別のFTPクライアントへの乗り換えをすすめる意見もあるが、ほかのFTPクライアントについても同様にアカウント情報を盗まれる可能性があるため、FTPクライアントを変更するだけでは抜本的な解決にはならない。また、FTP通信が盗聴されてログイン情報が盗まれるケースもあるようだ。FTPは平文で認証情報を送信するため、可能な限りSFTPやFTPSといった暗号化通信を行うプロトコルを利用し、またクライアント側にはパスワードを保存させない、もし保存させていたらそれをクリアしておく、といった対処が必要だろう。
関連ストーリー
Firehose:FFFTP終了のお知らせ by Anonymous Coward
そもそもマルウェアを拾った時点で (スコア:3, すばらしい洞察)
マルウェアを自機に招き入れた時点で、自分の権限でできる何をされてもおかしくはないと思うんだけど。
現時点における主要ターゲットがその人気FTPクライアントであることは事実だろうけど、乗り換えたところでそれは
「Macなら安心」程度の対策でしかない。
コメントを書く
Re:そもそもマルウェアを拾った時点で (スコア:3, 参考になる)
Mac OS X 10.5 から Keychain.app に ssh-agent の機能が追加されたので、私はここに SSH の鍵を登録して安心しています。(使い方は man ssh-add しましょう)
# という話ではない?
コメントを書く
親コメント
Re:そもそもマルウェアを拾った時点で (スコア:2)
そのためのパスフレーズとパスフレーズのキーチェインへの保管でしょう。
キーチェイン自体 (~/Library/Keychains/*) だって盗まれる可能性はありますが、ログインパスワードで暗号化されているので簡単には割れないというお話です。
コメントを書く
親コメント
Re:そもそもマルウェアを拾った時点で (スコア:2, 参考になる)
OTPを使って別計算機でレスポンス計算すれば「少しは安全」程度かな。
その別計算機にキーロガーが仕込まれて...
という、エンドレスな話はさておいて(そもそも、キーロガーを入れられた上で安全な通信、というのは絶望的だと思いますが)、キーロガーって、そんなに簡単に入れられるのかなぁ。例えば、Windows の制限付きユーザで利用していた場合、Windows 自体の脆弱性で権限のエレベーションがある、という場合を除いて、任意のアプリケーションのキー入力を取得する、という事は出来る? もちろん、管理者権限を持つユーザで作業したときに突っ込まれた、というのはあり得るだろうけど、管理者権限を持つユーザを介さない形で、キーロガーを仕込めるかどうか。
まぁ、実態として、管理者権限を持ったユーザで普通に利用している人が多いとは思うが...。Vista 以降なら UAC が障壁になることも有るだろうけど、UAC を無効にするバッドノウハウも広く使われている気がするし...。
コメントを書く
親コメント
Re:そもそもマルウェアを拾った時点で (スコア:2, 参考になる)
Windowsでは、同じデスクトップで動作している任意のアプリケーションから、管理者権限なしでキー入力を盗みとれます。これはWindowsの仕様で、これに依存したアプリが星の数ほどあるのでどうしようもありません(Vistaから少しはやりにくくなってますが)。また安易に完全禁止してしまうと、たとえばソフトウェアキーボードやIMEや障害者用のアクセシビリティツールはどうしたらいいのだという問題が発生します。
こちらの、想定されるウィッシュリスト [hatena.ne.jp]を見ればわかるように、あらゆるアプリケーションに影響が及ぶOSの仕様変更は簡単ではないのです。
コメントを書く
親コメント
オープンソースでパスワード管理しているのが駄目だとなると (スコア:1)
Firefoxもアウト?
コメントを書く
Re:オープンソースでパスワード管理しているのが駄目だとなると (スコア:3, 参考になる)
マスターパスワードを設定しないで保存していたら、原理的には FFFTP と同じです。マスターパスワードを設定すれば、それをキーに暗号化されるので、マスターパスワードを何らかの形で(キーロガーなり、ブルートフォースなり)取得しないと、保存しているアカウント情報からパスワードは取得出来ないはずです。
それよりも、FFFTP なんていう日本ローカルでメジャーなソフトのレジストリが漁られた、というのは意外な気がしたなぁ。同様のことは WinSCP でも FileZilla でも起こると思うのだが...。それとも、既に起こってる?
コメントを書く
親コメント
Re:オープンソースでパスワード管理しているのが駄目だとなると (スコア:2, 興味深い)
> 同様のことは WinSCP でも FileZilla でも起こると思うのだが...。それとも、既に起こってる?
Filezilla ではすでに起こっています。ネタ元のサイトに「Filezillaを使う場合、パスワードを決して保存しないでください」と書かれているのはそのため。
WinSCPについては現時点で確認されていないようですが、WinSCPもオープンソースですから(オープンソースでなくても多少時間稼ぎできるだけですが)対応されるのは時間の問題でしょう。もしかしたらすでに対応済みで、確認されていないだけかもしれません。
コメントを書く
親コメント
Re:オープンソースでパスワード管理しているのが駄目だとなると (スコア:2, 参考になる)
8080系でも有効かどうかは知りません
■10 FTP Clients Malware Steals Credentials From | Unmask Parasites. Blog.
http://blog.unmaskparasites.com/2009/09/23/10-ftp-clients-malware-stea... [unmaskparasites.com]
# 自分もネタ元のサイトで知りました。
# いつもお世話になっています。
コメントを書く
親コメント
公開鍵認証 + 認証エージェントで ok (スコア:2)
公開鍵認証と認証エージェントを併用する (たとえば Windows 版 FileZilla なら PuTTY [yebisuya.dip.jp] に付属する pageant を使う) ことで、FileZilla 側には一切パスワードを入力せずに接続できるようになります。
コメントを書く
親コメント
Re:オープンソースでパスワード管理しているのが駄目だとなると (スコア:2, すばらしい洞察)
>マスターパスワードを何らかの形で(キーロガーなり、ブルートフォースなり)取得しないと、保存しているアカウント情報からパスワードは取得出来ないはずです。
これは正しいけど、「保存しているアカウント情報から」取得できないだけで、ftpやhttpなど平文パスワードの通信方式なら「通信から」取得できる(そしてそれはマルウェアが入ってる時点で可能)ので、マスターパスワードの設定さえすれば安心という誤解を招くのでは
この書き方も、平文でないSFTP,FTPS,SSLなら安心という誤解を招きかねないが、これらは「通信から」取得できなくても「キー入力から」取得できる(そしてそれはマルウェアが入ってる時点で可能)ので、結局#1711741 [slashdot.jp]の言うようにマルウェアが入った時点で何やってもだめ。Gumblarはそこまで見ないようだからadhocな対策にはなるかもしれないけど。
コメントを書く
親コメント
Re:パスワードを保存しなかったら (スコア:3, 参考になる)
FFFTP作者さんの発言 [biglobe.ne.jp]は、
と、「ソースから解析することができる」とおっしゃっているだけです。
違法かどうかを言っているのではなく、「(逆アセンブルなどのリバースエンジニアリング手法を用いる必要がある)ソース非公開プログラムより、解析の難易度が低い」ということでは?
コメントを書く
親コメント
Re:リンク先は (スコア:2, 興味深い)
そうなのだけど。
わたしの周りでは、乗り換えればOKだと思う人が続出してました。
FFFTPの脆弱性と思った人が多い。
コメントを書く
親コメント
Re:リンク先は (スコア:2)
マスコミやセキュリティ関係者、システム管理者その他諸々だと思うね。
包丁で殺人はできるのと同様に、銃やバールのようなものやトンファーでも
殺人ができると人々が認識しているのは包丁のせいではない。
#トンファー言いたいだけだったのでID
コメントを書く
親コメント
乗換えを推奨しているのはこちら (スコア:2, すばらしい洞察)
暗号化通信により安全にファイルを転送できるFTPS/SFTP/FTPクライアント「FileZilla」 - SourceForge.JP Magazine [sourceforge.jp]
以下、リンク先の記事より引用。
これ、普通は「SFTPやFTPSの使えるFileZillaなら安心」と読むよね。FileZillaにも同様の問題が起こる可能性はある [slashdot.jp]という話なのに。
このFileZillaの紹介記事へのリンクが、SF.JP Magazineの最新記事(1/30の記事なんですよ、これが)として/.Jのトップに今回のストーリーと同時に表示されてるのは、はっきり言って性質が悪いと思う。
コメントを書く
親コメント
Re:事業所など多数のPCがハブに繋がってる場所での気休めの対策 (スコア:2)
>スイッチングハブなら、平文でのFTP通信でも↑みたいな盗聴は回避できるはずです。
ところがスイッチングハブの上位にバカハブがカスケードされててだなぁ…
#結局そういうレイヤーの話では、せめてプロミスキャスを検知しなきゃならん
コメントを書く
親コメント
geoについて(Re:リンク先は) (スコア:1)
>geocitiesやfc2とか無料webスペースを提供してるところは
geocitiesに関しては HTTP経由のファイルマネージャが使えます。
認証はhttps経由。yahoo共通のログインです。
http://geocities.yahoo.co.jp/filemanager [yahoo.co.jp]
EXアップロードでアップもできます。ブラウザがあればFTPが使えなくても問題ありません。
今回の件に関するお知らせも1月13日付で出ています。
http://geocities.yahoo.co.jp/v/info/index.html [yahoo.co.jp]
昔のgeoのFTPは、yahooとは別のパスワードだったですが、前に統合されてしまいました。
そのかわりFTPに対して、ログインを試みると「ログイン履歴」に [yahoo.co.jp]
「ジオシティーズ(※)」として日時、接続元IP、認証結果などが表示されるので、外部から攻撃されたときは分かります。
ただし、今回のウィルスは感染時自分のPCからFTPで書き換えることもあるので、自分のログインと区別はつきません。
# いろいろ考えたけど一番安全そうなのは、「NET未接続/外部メディア系一切使用不可のPCからCD/DVDを焼いて
# 表面にサインを書きサーバ担当に郵送する(サーバーが同じ建物ならサイン郵送は不要)」ぐらいしか思いつかなかった
コメントを書く
親コメント