JPCERT コーディネーションセンター

FTP アカウント情報を盗むマルウエアに関する注意喚起

各位

JPCERT-AT-2010-0005
JPCERT/CC
2010-02-03

JPCERT/CC Alert 2010-02-03


FTP アカウント情報を盗むマルウエアに関する注意喚起

Increase in malware stealing FTP credentials

https://www.jpcert.or.jp/at/2010/at100005.txt


I. 概要

昨年より、FTP アカウントの盗用に端を発して、Web サイトが改ざんされ、意図しない JavaScript を埋め込まれる事象や、改ざんされたサイトを閲覧したユーザのコンピュータがマルウエア(いわゆる Gumblar ウイルスなど)に感染する事象が多数発生しています。
JPCERT/CC にて本攻撃に使用されているマルウエアを解析した結果、これまでに判明していた通信の盗聴機能に加え、コンピュータ内に保存されているアカウント情報を窃取する挙動を確認しましたので、対策を周知する目的で本注意喚起を発行いたします。


II. 詳細

本攻撃に使用されているマルウエアに感染すると、ユーザのコンピュータ内に保存されているアカウント情報が読み取られ、外部のサーバに対し送信される可能性があります。
このアカウント窃取の対象となるソフトウエアは、FTP クライアントを含む複数の製品にのぼります。JPCERT/CC では、以下の FTP クライアントにてマルウエアによるアカウント窃取、および外部サーバへのアカウント情報の送信を確認しました。

- ALFTP 5.2 beta1
- BulletPloof FTP Client 2009.72.0.64
- EmFTP 2.02.2
- FFFTP 1.96d
- FileZilla 3.3.1
- FlashFXP 3.6
- Frigate 3.36
- FTP Commander 8
- FTP Navigator 7.77
- FTP Now 2.6.93
- FTP Rush 1.1b
- SmartFTP 4.0.1072.0
- Total Commander 7.50a
- UltraFXP 1.07
- WinSCP 4.2.5

上記に加えて、以下の Web ブラウザのアカウント管理機能を用いて保存されている情報をマルウエアが窃取し、外部サーバに送信している事を確認しました。

- Microsoft社 Internet Explorer 6
(Internet Explore 7 および 8 ではアカウント窃取は確認されておりません)
- Opera社 Opera 10.10

また、今後マルウエアが変化し、アカウント窃取の対象となるソフトウエアが変化する可能性があります。


III. 対策

本攻撃で使用されているマルウエアは、複数のソフトウエアの脆弱性を使用して感染します。現在判明している攻撃の対象となるソフトウエアは、以下の通りです。

- Adobe Acrobat、Adobe Reader
- Adobe Flash Player
- Java(JRE)
- Microsoft Windows など

JPCERT/CC で確認している範囲では、現在攻撃に使用されているこれらソフトウエアの脆弱性は既に修正済みのため、各製品に対策済ソフトウエアを適用することで、マルウエアに感染しないようにすることが出来ます。

また、今後攻撃の対象となるソフトウエアが増えたり、使用される脆弱性が変化したりする可能性があるため、ユーザは利用しているソフトウエアを最新版に更新することを心がけてください。

Web サイトの改ざんに対する対策は、以下の注意喚起をご参照下さい。

Web サイト改ざん及びいわゆる Gumblar ウイルス感染拡大に関する注意喚起
https://www.jpcert.or.jp/at/2010/at100001.txt


IV. 参考情報

経済産業省
年末年始におけるインターネット利用に関する注意喚起
http://www.meti.go.jp/policy/netsecurity/downloadfiles/nenmatsunenshi.pdf

JPCERT/CC
Web サイト経由でのマルウエア感染拡大に関する注意喚起
https://www.jpcert.or.jp/at/2009/at090023.txt

JPCERT/CC
冬期の長期休暇を控えて Vol.2
年末年始におけるインターネット利用に関する注意事項
https://www.jpcert.or.jp/pr/2009/pr090008.txt

JPCERT/CC
Web 改ざんに関する情報提供のお願い
https://www.jpcert.or.jp/pr/2010/pr100001.txt

独立行政法人情報処理推進機構
ウェブサイト管理者へ:ウェブサイト改ざんに関する注意喚起
一般利用者へ:改ざんされたウェブサイトからのウイルス感染に関する注意喚起
http://www.ipa.go.jp/security/topics/20091224.html

内閣官房情報セキュリティ センター(NISC)
情報セキュリティ月間
http://www.nisc.go.jp/ism/index.html

Microsoft社
Microsoft Update 利用の手順
http://www.microsoft.com/japan/security/bulletins/j_musteps.mspx


今回の件につきまして当方まで提供いただける情報がございましたら、ご連絡ください。


==============================
一般社団法人 JPCERT コーディネーションセンター (JPCERT/CC)
MAIL: info@jpcert.or.jp
TEL: 03-3518-4600 FAX: 03-3518-4602
https://www.jpcert.or.jp/
Topへ
最新情報(RSSメーリングリストTwitter