水無月ばけらのえび日記

bakera.jp > 水無月ばけらのえび日記 > Gumblarによる改竄発生中

Gumblarによる改竄発生中

2010年1月7日(木曜日)

Gumblarによる改竄発生中

更新: 2010年1月12日15時35分頃

GumblarによるWeb改ざん被害が相次ぐ、ユーザーも被害防止対策を (internet.watch.impress.co.jp)」。結構大きな企業のサイトがやられているのが興味深いですね。各社きちんとお知らせを出していますが……。

原因・経緯(12月26日更新)

ストリームを担当する制作会社のパソコンが、「Gumblar(ガンブラー)」亜種により、コンピュータウィルスに感染し、パソコンの情報が第三者により盗まれ、対象サイトのファイルが改ざんされました。

以上、Hondaホームページ 「ストリーム」サイトに関する報告とお詫び より

4.原因・経緯

ハウス食品「採用ホームページ」を担当する制作会社のパソコンが、コンピューターウィルス「Gumblar(ガンブラー)亜種」に感染し、パソコンの情報が第三者により盗まれ、対象ページが改ざんされました。

以上、ハウス食品「採用ホームページ」に関するお詫びとお知らせ(2010年1月7日)| ハウス食品からのお知らせ | 会社情報 | ハウス食品 より

■原因・経緯(2010年1月6日更新)

弊社ホームページ制作会社のパソコンが、「Gumblar亜種ウィルス」に感染したことにより、パソコンの情報が第3者により盗まれ、対象サイトのファイルが改ざんされました。

以上、ホームページに関する報告とお詫び|チョコレート・チーズケーキ・プリンなど洋菓子のモロゾフ より

こぞって「制作会社のパソコンが感染」となっていますね。

それはともかく、この規模の企業がGumblarの被害で改竄されていること自体が興味深いです。GumblarはFTPのアカウント情報を盗んで攻撃者に送り、攻撃者はそのアカウントでFTP接続して改竄を実行します。私の知る限り、既知の亜種では盗まれるのはFTPのパスワードだけで、SSHのパスワードは盗まれないはずです。

※……と、私は思っていますが、Gumblarにそこまで詳しくないのでイマイチ自信がありません。

ということは、以下のような状況だったということになります。

今時これは無いだろう……と思いたいところですが、まあ実際、そうでもなかったりするのですよね。

もちろん、しっかりやっている企業もあります。Webサーバのファイル更新をするのにRSAのトークンやクライアント証明書を渡されたりして、「ちょっとやりすぎじゃないの?」と思うことも少なくありません。

ただ、やっていない企業は本当にやっていなくて、本番サーバのFTPアカウント情報が送られてきて終わりという場合もあります。SSH/SCPならまだしも、本気で単なるFTPだったりするので驚きます。とはいえ、こちらから「FTPは嫌です」と言うのも変ですし、先方のポリシー的にOKなら従いますが……。

このへんは、会社による差が激しすぎると思うのですよね。

※2010-01-12追記: FTPを使わないことが対策になる、と言っているわけではありませんので念のため。感染しないようにすることが重要です。

関連する話題: セキュリティ

最近の日記

関わった本など