[Hammmer and Anvil] 夜間便
Thanks and Farewell FFFTP
banana様の貴重な
実検証結果により、FFFTPが完全にターゲットになっていることを受け、FFFTPへの手向けの花を・・・
Dedicated to FFFTP
FFFTPは非常に優れたフリーのFTPクライアントでした。本当に感謝いたします。
しかし、 
Version 1.96d [2008/9/23]を最後に更新停止されており、レジストリに ID/Password/接続先 を書き込むため、現在 8080系のマルウェアによって、感染と同時に窃取される危険性があります。
これまでの使用実績に感謝しつつ、ソフトをアンインストールし、以下のレジストリを必ず消去してください
HKEY_USERS\ユーザー識別番号\Software\Sota\FFFTP\Options\Host(n) : nは数字
例:
HKEY_USERS\ユーザー識別番号\Software\Sota\FFFTP\Options\Host0
HKEY_USERS\ユーザー識別番号\Software\Sota\FFFTP\Options\Host1
HKEY_USERS\ユーザー識別番号\Software\Sota\FFFTP\Options\Host2
HKEY_USERS\ユーザー識別番号\Software\Sota\FFFTP\Options\Host3
HKEY_USERS\ユーザー識別番号\Software\Sota\FFFTP\Options\Host4
以下、登録しておいたホストの数だけ・・
代替のFTPクライアントは、何がいいのか、私にもよくわかりません。
私は 
WinSCPのFTPSモードを使用しています。
※WinSCP の設定方法
保存したパスワードは簡単に復元できるように格納されています。自動的(非対話)な使用を許可する場合では安全にパスワードを暗号化するのは不可能です。もし、パスワードを保存しようとしているシステムの物理的電気的なセキュリティが完全でない場合パスワードを保存しないこと。
FileZillaを使用する際には、絶対にパスワードを保存しないでください。
※FFFTPは、パスワードをきちんと暗号化して、レジストリに書き込んでいます。しかし、OSS(オープンソース)の宿命で、ソースコードを解析されてしまうと、それは意味がなくなります。8080系の攻撃者は日本への攻撃のウェイトかなり重視している証明でもあります。
----------
追記 2010.01.30
流れを見ないでこの記事だけ見たら何のことかわからないかもしれないので補足しておきます。
何が問題なの?
日本語で開発され、日本で圧倒的シェアをもっていると思われるアプリケーションをターゲットに狙われたという点です。
どのみちFTPは平文転送なんだから同じでしょ?
過去に1回でもFFFTPをインストールして使用した環境は、現在は使用していなくてもその残骸がレジストリに残っています。そして運悪くマルウェアに感染したら意図していないにもかかわらずその情報が窃取されます。
※例えば、自分が出先でFTPを使うためにちょっとインストールして、使用後、そのフォルダだけ消したとします。しかしそのレジストリが残っており、もしパスワードを保存してしまったとしたら、誰かがレジストリを消さない限り延々と残り続けるのです。そしてFFFTPを起動できない環境であっても、マルウェア感染の有無にかかわらず、ID/PASS/接続先が窃取される恐れがあります。
対策は無いのでは?
既存の全てのFTPのID/PASSWORDを変更し、現時点でアクセスすることのないIDを消去するしかありません。
他のFTPソフトを使えば安全なの?
パスワードを保存しなければ安全・・・といいきれない点が問題です。
例えば umcTmk7ZhoX2sk6 のようなパスワードを、複数、暗記して置ける人がいるでしょうか?暗記できない場合、どこに保管するのですか? ポストイットで貼るのですか? 特にFTPの場合、相手からパスワードが発行され、自分では変更できないケースが多々あり、往々にして10桁以上のランダム文字列のことが多いのではないでしょうか?
FUDを煽るつもりはありませんが、初期のGumblar(Martuz)には、キーロガーの存在が確認されていた時期(亜種)も存在します。
なぜFFFTPをやめなればならないの?
FFFTPはFTPのみのプロトコルにしか対応しておらず、当方としては FTPS(21+PASV)の使用を推奨している以上、平文FTPにしか対応していないFFFTPは根本的にNGだと考えています。また、独自パスワードをソースから解析したマルウェア作者ですので、感染すれば当然 iniファイルも窃取されるものと考えなければなりません。現実問題として、FileZillaのconfig fileは既に窃取対象となっていることは実証されています。
----------
セキュリーナ
税金の無駄
という意見には概ね同意しますが、経済産業省そのものが悪いのかどうかは、私は態度保留にしておきます。
【パート①】小中学生のためのインターネット安全教室
【パート②】小中学生のためのインターネット安全教室
こういった擬人化キャラクターや、ビデオ広報によって、セキュリティの啓蒙を図ることそのものには、私は別に否定はしません。むしろ、もっとおおっぴらにやって欲しいと思います。問題は、そのベクトルがあまりにも斜め上に向かっている点ではないでしょうか?
小中学生相手の啓蒙活動なら、例えばTBSのこういう
取り組みと全く連携が取れていません。
去年の4月のzlkon.lvから始まった、一連の攻撃がなぜここまで拡大しているのか?、どうしてパンデミックが払拭できないのか? そういった点を、日本でだれか真剣に考えたことがあるのでしょうか?
少なくとも、
CCCにここまで書いてるのですから、それをきちんと CHECK PC 側にも、IPAの警報にもフィードバックしてください。税金を使って、日本でも有数のセキュリティ研究家の人が「監修」してるんですから、もう少しちゃんとして欲しいというのが本音です。
今のままだと、
so-netセキュリティ通信 に完全に負けてます・・・
※so-netは、変なメールじゃなくて、ISPの一つであって、セキュ会社ではありませんので念のため。
----------
Adobe
わぁい、日本語だぁ(棒読み)
Adobe ReaderおよびAcrobat用セキュリティアップデート公開
Adobe Illustrator CS3およびCS4用セキュリティアップデート公開
個人的感想は控えさせていただきます(笑)
----------
攻防戦展開中
iPad買って
ダメ!
旗色悪し orz...
----------
明日は早朝出向なので、ひょっとしたら書けないかもしれません。
ごめんなさいっ2行ほど消し(笑)
Thanks > Iさん
EoF
1 月 30th, 2010 at 10:06 AM
[...] づいた http://www3.atword.jp/gnome/2010/01/28/hammmer-and-anvil-a-blacksmith-in-the-dark/ Twitter [...]
1 月 30th, 2010 at 1:10 PM
FFFTPウィンドウ→オプションメニュー→環境設定→その他タブに
設定をレジストリではなくINIファイルに保存する、という設定があります
1 月 30th, 2010 at 1:47 PM
[...] 引用元: UnderForge of Lack » Blog Archive » [Hammmer and Anvil] 夜間便. [...]
1 月 30th, 2010 at 3:04 PM
[...] レジストリエディタの使い方 8080系(Gumblar)ウィルス Thanks and Farewell FFFTP 8080(Gumblar)はFFFTPも狙うのだそうです。 var hatena_bookmark_anywhere_limit = [...]
1 月 30th, 2010 at 3:34 PM
[...] Tweets about this great post on TwittLink.com [...]
1 月 30th, 2010 at 3:54 PM
ガンブラー対策を拝見させていただきました。
「私はWinSCPのFTPSモードを使用している」と書かれていますが、WinSCPの設定方法のリンク先を読んだところ、WinSCPには「SFTPモード」はあるけど「FTPSモード」はないように見えました。
WinSCPでFTPSは利用可能なのでしょうか?
1 月 30th, 2010 at 4:18 PM
[...] Read more: UnderForge of Lack » Blog Archive » [Hammmer and Anvil] å¤é便 28 January 2010 | Uncategorized | Trackback | del.icio.us | Stumble it! | View Count : 0 Next Post : 20 Weird & Bizarre X-Ray Images | XRAY Technician [...]
1 月 30th, 2010 at 4:34 PM
Ponta様
コメントありがとうございます
FTPにして
No Encryption(暗号化無し)
ではなく、
SSL Explicit encryption (たぶんこれが通常です)
で接続します。
ExplicitとImplicitの違いはこのへんを参考にしてくださいませ。
http://www3.atword.jp/gnome/2010/01/17/knowledge-sftp-or-ftps/
1 月 30th, 2010 at 5:15 PM
> Gnomeさん
WinSCPのFTPSは、4.2bより対応してますね。
記事を読んで気づきました。
> Pontaさん
WinSCP4.2.5で問題なくFTPS接続できました。
セッションの詳細設定→接続 で
パッシブモードにチェックをいれないと、
サーバの環境によってはうまく接続できないかもしれません。
1 月 30th, 2010 at 5:44 PM
[...] 検証した記事(UnderForge of Lackより) http://www3.atword.jp/gnome/2010/01/28/hammmer-and-anvil-a-blacksmith-in-the-dark/ [...]
1 月 30th, 2010 at 6:07 PM
[...] FFFTPの問題を検証した記事 (UnderForge of [...]
1 月 30th, 2010 at 6:33 PM
FFFTPのメニューに設定を設定の全削除があり、これを実行するとレジストリからも消去されるようです。
1 月 30th, 2010 at 9:14 PM
ffftpってiniファイルに設定保存もできますよね。
結局、復号も簡単にできるので安全性が高いとはいえませんけれど。
1 月 30th, 2010 at 9:18 PM
なぜか、トラックバックが反映されないようなのでコメントします。
> OSS(オープンソース)の宿命で、ソースコードを解析されてしまうと、それは意味がなくなります。
この文章では、「ソースコードが公開されていなければ復号化できない」というような誤解を受ける可能性があると思います。
復号可能なのは、オープンソースでなくとも同じ事なので、記述を改めるべきでしょう。
1 月 30th, 2010 at 9:39 PM
[...] 対応方法 → ◆ UnderForge of Lack ◆ 竹熊健太郎「それでも出版社が「生き残る」としたら」 [...]
1 月 31st, 2010 at 1:22 AM
[...] 貴重な実検証結果により、FFFTPが完 全にターゲットになっていることを受け、FFFTPへの手向けの花を・・・ Dedica ted to FFFTP FFFTPは非常に優れたフリーのFTPクライアントで… original article [...]
1 月 31st, 2010 at 3:55 AM
FFFTPでの問題点はセキュア接続に対応していない点だけで、パスワードを保存する事に拠る脆弱性は他のソフトでも同じだし、他のソフトでもセキュア接続を利用しなければやはり同じことになります。
サイト側がセキュア接続に対応していない場合はセキュア接続が使えるクライアントとほぼ対等の条件なのでFFFTPだけを槍玉に挙げるのはどーかと思いますよ。
実際この記事を見て勘違いした馬鹿もワラワラ居るようですし。
1 月 31st, 2010 at 6:15 AM
[...] なお、UnderForge of Lackに記載されているレジストリの削除ですが、通常はFFFTPをコントロールパネルを使ってアンインストールした段階で削除されます。 インストーラを使わない方法でFFFT [...]
1 月 31st, 2010 at 10:39 AM
[...] 仕事も生活も上手くこなすライフハック情報満載のブログ・メディア】 【UnderForge of Lack ≫ Blog Archive ≫ [Hammmer and Anvil] 夜間便】 【Sota’s Web Page】 [...]
1 月 31st, 2010 at 12:02 PM
[...] FFFTP に、セキュリティ面で大きな問題が発見されました。 ■FFFTP FFFTPの問題を検証した記事 (UnderForge of Lackより) [...]
2 月 1st, 2010 at 10:23 AM
[...] 元ネタ [Hammmer and Anvil] 夜間便 Thanks and Farewell FFFTP [...]
2 月 4th, 2010 at 5:56 PM
[...] ※下記を参照 smilebanana UnderForge of Lack [...]