Gumblarによる改竄発生中

2010年1月7日(木曜日)

Gumblarによる改竄発生中

更新: 2010年1月12日15時35分頃

「GumblarによるWeb改ざん被害が相次ぐ、ユーザーも被害防止対策を (internet.watch.impress.co.jp)」。結構大きな企業のサイトがやられているのが興味深いですね。各社きちんとお知らせを出していますが……。

原因・経緯（12月26日更新）
ストリームを担当する制作会社のパソコンが、「Gumblar（ガンブラー）」亜種により、コンピュータウィルスに感染し、パソコンの情報が第三者により盗まれ、対象サイトのファイルが改ざんされました。

以上、Hondaホームページ　「ストリーム」サイトに関する報告とお詫びより

４．原因・経緯
ハウス食品「採用ホームページ」を担当する制作会社のパソコンが、コンピューターウィルス「Gumblar（ガンブラー）亜種」に感染し、パソコンの情報が第三者により盗まれ、対象ページが改ざんされました。

以上、ハウス食品「採用ホームページ」に関するお詫びとお知らせ（2010年1月7日）| ハウス食品からのお知らせ | 会社情報 | ハウス食品より

■原因・経緯（2010年1月6日更新）
弊社ホームページ制作会社のパソコンが、「Gumblar亜種ウィルス」に感染したことにより、パソコンの情報が第3者により盗まれ、対象サイトのファイルが改ざんされました。

以上、ホームページに関する報告とお詫び｜チョコレート・チーズケーキ・プリンなど洋菓子のモロゾフより

こぞって「制作会社のパソコンが感染」となっていますね。

それはともかく、この規模の企業がGumblarの被害で改竄されていること自体が興味深いです。GumblarはFTPのアカウント情報を盗んで攻撃者に送り、攻撃者はそのアカウントでFTP接続して改竄を実行します。私の知る限り、既知の亜種では盗まれるのはFTPのパスワードだけで、SSHのパスワードは盗まれないはずです。

※……と、私は思っていますが、Gumblarにそこまで詳しくないのでイマイチ自信がありません。

ということは、以下のような状況だったということになります。

Webサーバのファイル更新にFTPを使用している (SSH/SCPであればGumblarでパスワードが盗まれることはない)
社外から直接FTP接続ができる (社内限定、あるいは特殊な踏み台を経由する必要がある構成なら、攻撃者はFTPサーバにアクセスできない)
FTP接続の接続元IPアドレスを限定していない (接続元が限定されていれば、攻撃者が感染者と同じネットワークにいない限りアクセスできない)

今時これは無いだろう……と思いたいところですが、まあ実際、そうでもなかったりするのですよね。

もちろん、しっかりやっている企業もあります。Webサーバのファイル更新をするのにRSAのトークンやクライアント証明書を渡されたりして、「ちょっとやりすぎじゃないの?」と思うことも少なくありません。

ただ、やっていない企業は本当にやっていなくて、本番サーバのFTPアカウント情報が送られてきて終わりという場合もあります。SSH/SCPならまだしも、本気で単なるFTPだったりするので驚きます。とはいえ、こちらから「FTPは嫌です」と言うのも変ですし、先方のポリシー的にOKなら従いますが……。

このへんは、会社による差が激しすぎると思うのですよね。

※2010-01-12追記: FTPを使わないことが対策になる、と言っているわけではありませんので念のため。感染しないようにすることが重要です。

「Gumblarによる改竄発生中」へのコメント (2件)