水無月ばけらのえび日記

bakera.jp > 水無月ばけらのえび日記 > Gumblarによる改竄発生中

Gumblarによる改竄発生中

2010年1月7日(木曜日)

Gumblarによる改竄発生中

更新: 2010年1月12日15時35分頃

GumblarによるWeb改ざん被害が相次ぐ、ユーザーも被害防止対策を (internet.watch.impress.co.jp)」。結構大きな企業のサイトがやられているのが興味深いですね。各社きちんとお知らせを出していますが……。

原因・経緯(12月26日更新)

ストリームを担当する制作会社のパソコンが、「Gumblar(ガンブラー)」亜種により、コンピュータウィルスに感染し、パソコンの情報が第三者により盗まれ、対象サイトのファイルが改ざんされました。

以上、Hondaホームページ 「ストリーム」サイトに関する報告とお詫び より

4.原因・経緯

ハウス食品「採用ホームページ」を担当する制作会社のパソコンが、コンピューターウィルス「Gumblar(ガンブラー)亜種」に感染し、パソコンの情報が第三者により盗まれ、対象ページが改ざんされました。

以上、ハウス食品「採用ホームページ」に関するお詫びとお知らせ(2010年1月7日)| ハウス食品からのお知らせ | 会社情報 | ハウス食品 より

■原因・経緯(2010年1月6日更新)

弊社ホームページ制作会社のパソコンが、「Gumblar亜種ウィルス」に感染したことにより、パソコンの情報が第3者により盗まれ、対象サイトのファイルが改ざんされました。

以上、ホームページに関する報告とお詫び|チョコレート・チーズケーキ・プリンなど洋菓子のモロゾフ より

こぞって「制作会社のパソコンが感染」となっていますね。

それはともかく、この規模の企業がGumblarの被害で改竄されていること自体が興味深いです。GumblarはFTPのアカウント情報を盗んで攻撃者に送り、攻撃者はそのアカウントでFTP接続して改竄を実行します。私の知る限り、既知の亜種では盗まれるのはFTPのパスワードだけで、SSHのパスワードは盗まれないはずです。

※……と、私は思っていますが、Gumblarにそこまで詳しくないのでイマイチ自信がありません。

ということは、以下のような状況だったということになります。

今時これは無いだろう……と思いたいところですが、まあ実際、そうでもなかったりするのですよね。

もちろん、しっかりやっている企業もあります。Webサーバのファイル更新をするのにRSAのトークンやクライアント証明書を渡されたりして、「ちょっとやりすぎじゃないの?」と思うことも少なくありません。

ただ、やっていない企業は本当にやっていなくて、本番サーバのFTPアカウント情報が送られてきて終わりという場合もあります。SSH/SCPならまだしも、本気で単なるFTPだったりするので驚きます。とはいえ、こちらから「FTPは嫌です」と言うのも変ですし、先方のポリシー的にOKなら従いますが……。

このへんは、会社による差が激しすぎると思うのですよね。

※2010-01-12追記: FTPを使わないことが対策になる、と言っているわけではありませんので念のため。感染しないようにすることが重要です。

関連する話題: セキュリティ

人気のページ

最近の日記

関わった本など

デザイニングWebアクセシビリティ - アクセシブルな設計やコンテンツ制作のアプローチコーディングWebアクセシビリティ - WAI-ARIAで実現するマルチデバイス環境のWebアプリケーション体系的に学ぶ 安全なWebアプリケーションの作り方 脆弱性が生まれる原理と対策の実践ウェブの仕事力が上がる標準ガイドブック 5 WebプログラミングWeb Site Expert #13Dreamweaver プロフェッショナル・スタイル [CS3対応] (Style for professional)

その他サイト