-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA256 各位 JPCERT-AT-2010-0005 JPCERT/CC 2010-02-03 <<< JPCERT/CC Alert 2010-02-03 >>> FTP アカウント情報を盗むマルウエアに関する注意喚起 Increase in malware stealing FTP credentials https://www.jpcert.or.jp/at/2010/at100005.txt I. 概要 昨年より、FTP アカウントの盗用に端を発して、Web サイトが改ざんされ、 意図しない JavaScript を埋め込まれる事象や、改ざんされたサイトを閲覧し たユーザのコンピュータがマルウエア(いわゆる Gumblar ウイルスなど)に感 染する事象が多数発生しています。 JPCERT/CC にて本攻撃に使用されているマルウエアを解析した結果、これま でに判明していた通信の盗聴機能に加え、コンピュータ内に保存されているア カウント情報を窃取する挙動を確認しましたので、対策を周知する目的で本注 意喚起を発行いたします。 II. 詳細 本攻撃に使用されているマルウエアに感染すると、ユーザのコンピュータ内 に保存されているアカウント情報が読み取られ、外部のサーバに対し送信され る可能性があります。 このアカウント窃取の対象となるソフトウエアは、FTP クライアントを含む 複数の製品にのぼります。JPCERT/CC では、以下の FTP クライアントにてマル ウエアによるアカウント窃取、および外部サーバへのアカウント情報の送信を 確認しました。 - ALFTP 5.2 beta1 - BulletPloof FTP Client 2009.72.0.64 - EmFTP 2.02.2 - FFFTP 1.96d - FileZilla 3.3.1 - FlashFXP 3.6 - Frigate 3.36 - FTP Commander 8 - FTP Navigator 7.77 - FTP Now 2.6.93 - FTP Rush 1.1b - SmartFTP 4.0.1072.0 - Total Commander 7.50a - UltraFXP 1.07 - WinSCP 4.2.5 上記に加えて、以下の Web ブラウザのアカウント管理機能を用いて保存され ている情報をマルウエアが窃取し、外部サーバに送信している事を確認しまし た。 - Microsoft社 Internet Explorer 6 (Internet Explore 7 および 8 ではアカウント窃取は確認されておりません) - Opera社 Opera 10.10 また、今後マルウエアが変化し、アカウント窃取の対象となるソフトウエア が変化する可能性があります。 III. 対策 本攻撃で使用されているマルウエアは、複数のソフトウエアの脆弱性を使用 して感染します。現在判明している攻撃の対象となるソフトウエアは、以下の 通りです。 - Adobe Acrobat、Adobe Reader - Adobe Flash Player - Java(JRE) - Microsoft Windows など JPCERT/CC で確認している範囲では、現在攻撃に使用されているこれらソフ トウエアの脆弱性は既に修正済みのため、各製品に対策済ソフトウエアを適用 することで、マルウエアに感染しないようにすることが出来ます。 また、今後攻撃の対象となるソフトウエアが増えたり、使用される脆弱性が 変化したりする可能性があるため、ユーザは利用しているソフトウエアを最新 版に更新することを心がけてください。 Web サイトの改ざんに対する対策は、以下の注意喚起をご参照下さい。 Web サイト改ざん及びいわゆる Gumblar ウイルス感染拡大に関する注意喚起 https://www.jpcert.or.jp/at/2010/at100001.txt IV. 参考情報 経済産業省 年末年始におけるインターネット利用に関する注意喚起 http://www.meti.go.jp/policy/netsecurity/downloadfiles/nenmatsunenshi.pdf JPCERT/CC Web サイト経由でのマルウエア感染拡大に関する注意喚起 https://www.jpcert.or.jp/at/2009/at090023.txt JPCERT/CC 冬期の長期休暇を控えて Vol.2 年末年始におけるインターネット利用に関する注意事項 https://www.jpcert.or.jp/pr/2009/pr090008.txt JPCERT/CC Web 改ざんに関する情報提供のお願い https://www.jpcert.or.jp/pr/2010/pr100001.txt 独立行政法人情報処理推進機構 ウェブサイト管理者へ:ウェブサイト改ざんに関する注意喚起 一般利用者へ:改ざんされたウェブサイトからのウイルス感染に関する注意喚起 http://www.ipa.go.jp/security/topics/20091224.html 内閣官房情報セキュリティ センター(NISC) 情報セキュリティ月間 http://www.nisc.go.jp/ism/index.html Microsoft社 Microsoft Update 利用の手順 http://www.microsoft.com/japan/security/bulletins/j_musteps.mspx 今回の件につきまして当方まで提供いただける情報がございましたら、ご連 絡ください。 ====================================================================== 一般社団法人 JPCERT コーディネーションセンター (JPCERT/CC) MAIL: info@jpcert.or.jp TEL: 03-3518-4600 FAX: 03-3518-4602 https://www.jpcert.or.jp/ -----BEGIN PGP SIGNATURE----- iQEVAwUBS2j9dzF9l6Rp7OBIAQjseQgAljM7lj4zX0ZSjUX/GBeOz0zP2N19pPSK lI3l1JChUIVTFCyXuIqlq0s66z1Ezyg1kdJm/p6Mnek/JdQVkIQv0ewlwylA9xqn kW8Hw690N4snWJbXwxmC5qRPDi7lFH4mo7ycjpYBkakDDaSVs57KRWmcKSiXaZrb b+vmzbmn8cvdeA5vRb38TA24vyZjAYboBWmpZlNMxnhVbOqFRtzCA8aUYRMe/qS3 rvXAt/VdCH5rlD7JFV79LPG0jOPrQNhG9DqBqyZakvpunvkrhW8xoCtHJtcfsvIL /HB+bgiwzJQWRpco6ZshtQhbmy2iVgU8/OsPEVAAnN3NAqWKN6JZBQ== =ETn4 -----END PGP SIGNATURE-----