2010年1月7日(木曜日)
Gumblarによる改竄発生中
更新: 2010年1月12日15時35分頃
「GumblarによるWeb改ざん被害が相次ぐ、ユーザーも被害防止対策を (internet.watch.impress.co.jp)」。結構大きな企業のサイトがやられているのが興味深いですね。各社きちんとお知らせを出していますが……。
原因・経緯(12月26日更新)
ストリームを担当する制作会社のパソコンが、「Gumblar(ガンブラー)」亜種により、コンピュータウィルスに感染し、パソコンの情報が第三者により盗まれ、対象サイトのファイルが改ざんされました。
4.原因・経緯
ハウス食品「採用ホームページ」を担当する制作会社のパソコンが、コンピューターウィルス「Gumblar(ガンブラー)亜種」に感染し、パソコンの情報が第三者により盗まれ、対象ページが改ざんされました。
以上、ハウス食品「採用ホームページ」に関するお詫びとお知らせ(2010年1月7日)| ハウス食品からのお知らせ | 会社情報 | ハウス食品 より
■原因・経緯(2010年1月6日更新)
弊社ホームページ制作会社のパソコンが、「Gumblar亜種ウィルス」に感染したことにより、パソコンの情報が第3者により盗まれ、対象サイトのファイルが改ざんされました。
こぞって「制作会社のパソコンが感染」となっていますね。
それはともかく、この規模の企業がGumblarの被害で改竄されていること自体が興味深いです。GumblarはFTPのアカウント情報を盗んで攻撃者に送り、攻撃者はそのアカウントでFTP接続して改竄を実行します。私の知る限り、既知の亜種では盗まれるのはFTPのパスワードだけで、SSHのパスワードは盗まれないはずです。
※……と、私は思っていますが、Gumblarにそこまで詳しくないのでイマイチ自信がありません。
ということは、以下のような状況だったということになります。
- Webサーバのファイル更新にFTPを使用している (SSH/SCPであればGumblarでパスワードが盗まれることはない)
- 社外から直接FTP接続ができる (社内限定、あるいは特殊な踏み台を経由する必要がある構成なら、攻撃者はFTPサーバにアクセスできない)
- FTP接続の接続元IPアドレスを限定していない (接続元が限定されていれば、攻撃者が感染者と同じネットワークにいない限りアクセスできない)
今時これは無いだろう……と思いたいところですが、まあ実際、そうでもなかったりするのですよね。
もちろん、しっかりやっている企業もあります。Webサーバのファイル更新をするのにRSAのトークンやクライアント証明書を渡されたりして、「ちょっとやりすぎじゃないの?」と思うことも少なくありません。
ただ、やっていない企業は本当にやっていなくて、本番サーバのFTPアカウント情報が送られてきて終わりという場合もあります。SSH/SCPならまだしも、本気で単なるFTPだったりするので驚きます。とはいえ、こちらから「FTPは嫌です」と言うのも変ですし、先方のポリシー的にOKなら従いますが……。
このへんは、会社による差が激しすぎると思うのですよね。
※2010-01-12追記: FTPを使わないことが対策になる、と言っているわけではありませんので念のため。感染しないようにすることが重要です。
- 「Gumblarによる改竄発生中」へのコメント (2件)
関連する話題: セキュリティ
- 前(古い): 2010年1月6日(Wednesday)のえび日記
- 次(新しい): 2010年1月9日(Saturday)のえび日記