サイバーインシデントがなくなるその日まで

JPCERT Coordination Center

powered by Yahoo! JAPAN

  • このサイト内を検索
  • ウェブ全体を検索

FTP アカウント情報を盗むマルウエアに関する注意喚起

最終更新: 2010-02-03 
各位
                                                    JPCERT-AT-2010-0005
                                                              JPCERT/CC
                                                             2010-02-03


                  <<< JPCERT/CC Alert 2010-02-03  >>>

          FTP アカウント情報を盗むマルウエアに関する注意喚起

             Increase in malware stealing FTP credentials

            https://www.jpcert.or.jp/at/2010/at100005.txt


I.  概要

  昨年より、FTP アカウントの盗用に端を発して、Web サイトが改ざんされ、
意図しない JavaScript を埋め込まれる事象や、改ざんされたサイトを閲覧し
たユーザのコンピュータがマルウエア(いわゆる Gumblar ウイルスなど)に感
染する事象が多数発生しています。
  JPCERT/CC にて本攻撃に使用されているマルウエアを解析した結果、これま
でに判明していた通信の盗聴機能に加え、コンピュータ内に保存されているア
カウント情報を窃取する挙動を確認しましたので、対策を周知する目的で本注
意喚起を発行いたします。


II. 詳細

  本攻撃に使用されているマルウエアに感染すると、ユーザのコンピュータ内
に保存されているアカウント情報が読み取られ、外部のサーバに対し送信され
る可能性があります。
  このアカウント窃取の対象となるソフトウエアは、FTP クライアントを含む
複数の製品にのぼります。JPCERT/CC では、以下の FTP クライアントにてマル
ウエアによるアカウント窃取、および外部サーバへのアカウント情報の送信を
確認しました。

   - ALFTP 5.2 beta1
   - BulletPloof FTP Client 2009.72.0.64
   - EmFTP 2.02.2
   - FFFTP 1.96d
   - FileZilla 3.3.1
   - FlashFXP 3.6
   - Frigate 3.36
   - FTP Commander 8
   - FTP Navigator 7.77
   - FTP Now 2.6.93
   - FTP Rush 1.1b
   - SmartFTP 4.0.1072.0
   - Total Commander 7.50a
   - UltraFXP 1.07
   - WinSCP 4.2.5

  上記に加えて、以下の Web ブラウザのアカウント管理機能を用いて保存され
ている情報をマルウエアが窃取し、外部サーバに送信している事を確認しまし
た。

   - Microsoft社 Internet Explorer 6
     (Internet Explore 7 および 8 ではアカウント窃取は確認されておりません)
   - Opera社 Opera 10.10

  また、今後マルウエアが変化し、アカウント窃取の対象となるソフトウエア
が変化する可能性があります。


III. 対策

  本攻撃で使用されているマルウエアは、複数のソフトウエアの脆弱性を使用
して感染します。現在判明している攻撃の対象となるソフトウエアは、以下の
通りです。

   - Adobe Acrobat、Adobe Reader
   - Adobe Flash Player
   - Java(JRE)
   - Microsoft Windows など

  JPCERT/CC で確認している範囲では、現在攻撃に使用されているこれらソフ
トウエアの脆弱性は既に修正済みのため、各製品に対策済ソフトウエアを適用
することで、マルウエアに感染しないようにすることが出来ます。

  また、今後攻撃の対象となるソフトウエアが増えたり、使用される脆弱性が
変化したりする可能性があるため、ユーザは利用しているソフトウエアを最新
版に更新することを心がけてください。

  Web サイトの改ざんに対する対策は、以下の注意喚起をご参照下さい。

  Web サイト改ざん及びいわゆる Gumblar ウイルス感染拡大に関する注意喚起
  https://www.jpcert.or.jp/at/2010/at100001.txt


IV. 参考情報

   経済産業省
   年末年始におけるインターネット利用に関する注意喚起
   http://www.meti.go.jp/policy/netsecurity/downloadfiles/nenmatsunenshi.pdf

   JPCERT/CC
   Web サイト経由でのマルウエア感染拡大に関する注意喚起
   https://www.jpcert.or.jp/at/2009/at090023.txt

   JPCERT/CC
   冬期の長期休暇を控えて Vol.2
   年末年始におけるインターネット利用に関する注意事項
   https://www.jpcert.or.jp/pr/2009/pr090008.txt

   JPCERT/CC
   Web 改ざんに関する情報提供のお願い
   https://www.jpcert.or.jp/pr/2010/pr100001.txt

   独立行政法人情報処理推進機構
   ウェブサイト管理者へ:ウェブサイト改ざんに関する注意喚起
   一般利用者へ:改ざんされたウェブサイトからのウイルス感染に関する注意喚起
   http://www.ipa.go.jp/security/topics/20091224.html

   内閣官房情報セキュリティ センター(NISC)
   情報セキュリティ月間
   http://www.nisc.go.jp/ism/index.html

   Microsoft社
   Microsoft Update 利用の手順
   http://www.microsoft.com/japan/security/bulletins/j_musteps.mspx


  今回の件につきまして当方まで提供いただける情報がございましたら、ご連
絡ください。


======================================================================
一般社団法人  JPCERT コーディネーションセンター (JPCERT/CC)
MAIL: info@jpcert.or.jp
TEL:  03-3518-4600  FAX: 03-3518-4602
https://www.jpcert.or.jp/

Topへ

緊急情報を確認する

おすすめ情報