[NOTICE] がんぶらー'ed される FTP list
FTP アカウント情報を盗むマルウエアに関する注意喚起
このアカウント窃取の対象となるソフトウエアは、FTP クライアントを含む複数の製品にのぼります。JPCERT/CC では、以下の FTP クライアントにてマルウエアによるアカウント窃取、および外部サーバへのアカウント情報の送信を確認しました。
- ALFTP 5.2 beta1
- BulletPloof FTP Client 2009.72.0.64
- EmFTP 2.02.2
- 
FFFTP 1.96d
- 
FileZilla 3.3.1
- FlashFXP 3.6
- Frigate 3.36
- FTP Commander 8
- FTP Navigator 7.77
- FTP Now 2.6.93
- FTP Rush 1.1b
- SmartFTP 4.0.1072.0
- Total Commander 7.50a
- UltraFXP 1.07 ※公式サイト http://www.ultrafxp.com 消失
- 
WinSCP 4.2.5
上記に加えて、以下の Web ブラウザのアカウント管理機能を用いて保存され
ている情報をマルウエアが窃取し、外部サーバに送信している事を確認しまし
た。
- 
Microsoft社 Internet Explorer 6
(Internet Explore 7 および 8 ではアカウント窃取は確認されておりません)
- Opera社 
Opera 10.10
JPCERT/CCが、自信を持って名指ししてますので、十分に検証したのでしょうネ。
以前に Unmask Parasitesが挙げた「
使用すべきでない10のFTPクライアント」と比較すると、さらに使用すべきでないFTPクライアントが増えてしまいます。
こうなると、印象的に安心して使える FTPクライアントがすごく限られてしまうような・・・
何度も言っているように、まずは「感染しないこと」が重要なのは言うまでもありません。
※どっちのマルウェアの検証結果なのか謎ですが、恐らくは 8080/QuickSilver のことを指していると思われます
------
結果的に、key(id_rsaなど)を登録できる環境下にあるなら FTP を捨て、SFTP(SSH L2) による鍵認証+パスフレーズが一番いいような気がしてきました。
公開鍵認証と認証エージェントを併用する
FileZilla 側には一切パスワードを入力せずに接続できるようになります。
これなら FileZillaでも、WinSCPでもOK・・・かな
問題は 22 番をどこか別のPortに移動して、shellを抑制する(rsshなど)をきちんと設定することですが・・