Hatena::ブログ(Diary)

三等兵

2010-02-04

無料でPCセキュリティ対策、ガンブラー対策とFTP関係の総まとめ

ガンブラーの話題を機にセキュリティ見直しました。いろいろ試したのでまとめておきます。と軽い気持ちでやってたらあれこれ付け加わって大変面倒なことになって、アホみたいに長くなった。分けようと思いましたが、もういいや。

概要は、大きなものが3つ。PCのセキュリティ(アンチウィルスソフト、ファイアウォール等)、ガンブラー対策と情報、FTPセキュリティ、に関することです。


情報がまとまっている人は、クソ長い文章読まなくてここだけみとけばいいかと。

ご利用頂けません | So-net

メジャーなFTPクライアントはほぼ全滅ですが、PCのセキュリティをしっかりして感染さえしなければまず抜き取られることはないのでPC死守。


連日、サイト改ざんの報告があります。

ご利用頂けません | So-net



以下長いコンテンツ。こうした方がいいよお前それだめだろお前とかそりゃ貸しビル最高だろお前とかあったらご教授を。


セキュリティ宣言

マルウェアはものすごく暇な人が作ってるように思います。悪の怪人、マルウェア暇人たちです。人生がものすごい暇なので、ものすごいことをやってきます。24時間暇なので24時間努力してるような暇人です。なので最先端マルウェア暇人の作ったマルウェアの対策は、一般ピープルには難しいものです。

私たちができることは暇人と戦う正義のヒーローセキュア暇人(セキュリティ対策企業)が提供してくれるサービスによりつくここと、OSやソフトウェアのアップデートを日々待ち構えるのみです。どうあっても完璧なガードなんてできません。後手後手の対策になってしまいます。

そんな対策なので、ディフェンスに定評のある池上並みのガードを求める人は、バスケしてきなさい。


せんせい、ばすけがしたいです><


じゃなくて、まあ後手後手なることは理解しつつ、それでも対策を怠らないようにしていかなければいけないということです。


1.無料でPC総合セキュリティ対策

市販の総合セキュリティソフトほどガチガチにすることはできないと思いますが、アンチウィルスソフトウェア、ファイアウォール、アンチスパイウェアを入れることで、ある程度の水準には高められると思います。そういうわけでその3種類のソフトを入れて対策していきます。

よくわからん人のためのwikipedia。

アンチウイルスソフトウェア - Wikipedia

ファイアウォール - Wikipedia

アンチスパイウェア - Wikipedia


PCのセキュリティ対策で、あとはOSとインストールしているソフトウェアを最新にすることですが、それは基本マルウェア予防対策の方で。ここではソフトウェアでの対策。


セキュリティチェック

とりあえず自身のPCのセキュリティをチェック。シマンテックのページです。注意が多かったら早急に対策を。

no title


オンラインスキャン

ソフトウェアをインストールせずにウィルスチェック。

現在は、ガンブラー系はほとんど検出できると思います。しかし、8080系はまだ進行して改良されて各社対応に追われている状態ですから、最新のものは見つからないかもです。数日ほど時間をあけて再度チェックしたりしてください。

私はここで紹介しているのは全て試してみましたが(カペルスキーは停止中だった)、何もありませんでした。

  • 【マイクロソフト】OneCare PC セーフティ【IEのみ】
    • スパイウェアやウィルスの検出と駆除から、レジストリやディスクのクリーンアップまでと至れり尽くせりのサービス内容。全部やるとかなり時間かかりそう。まとめてきれいさっぱりしたい初心者には良いかも

FirefoxにしてもIEにしてもだいたいアドオンやActiveXのインストールを要求されます。


無料アンチウィルスソフトウェア

アンチウイルスソフトウェア - Wikipedia

ウィルスの定義ファイルについては無料も有料も同じですので、無料だからといってウィルスの検出率は変わりません。複数のソフトを紹介していますが、それぞれPCやOSによって相性があるからです。どれが良いかわからんという人は、初心者と書いてあるものを試してみてください。


Avira AntiVir

Avira AntiVirをダウンロード

  • 検出率に定評がある。全同製品のうちトップレベル。フリーでは一番を取ることが多い
  • 最近になって日本語に対応したので違うソフトから乗り換えた人多し
  • 日本ユーザや海外ユーザからも支持されている
  • 動作は軽いしスキャンも速い
  • 設定が複雑なので玄人向け。私も設定を見てみたけどめんどくさかった
  • 定義ファイルは随時更新されている

【使い方・詳細】


AVG Anti-Virus Free Edition

AVG Anti-Virus Free Editionをダウンロード

  • 検出率はAvira AntiVirより劣るがトップレベル。安定している
  • もちろん日本語対応
  • 動作は軽いがスキャンが若干遅いような
  • 日本ユーザや海外ユーザからも支持されている
  • 設定はいじる必要がほとんど無い上に初心者から熟練者まで使える
  • 定義ファイルは随時更新されている
  • 実は無料ウィルス対策ソフトでは一番ダウンロードされている→http://download.cnet.com/windows/antivirus-software/?tag=mncol%3Bsort&rpp=10&sort=downloadCount+asc

【使い方・詳細】


avast!

avast!をダウンロード

  • 検出率は上位に位置するがAvira AntiVirやAVGと比べると劣る
  • バージョンが今のところ4.8と5.0がある
  • 最新の5.0はデザインが一新されている。動作は変わらず軽快
  • 4.8、5.0共に日本語対応
  • 定義ファイルは随時更新されている
  • 動作は軽いしスキャンも速い
  • 日本ユーザや海外ユーザからも支持されていたがAvira AntiVirとAVGに乗り換える人多し
  • ユーザのケツ若干軽し
  • 無料だけどライセンスキーを取得しなければならず、1年毎更新が必要
  • 私は前からこれ利用しています。ただの好みです

【使い方・詳細】


Microsoft Security Essentials(MSE)

Microsoft Security Essentialsをダウンロード

  • OneCareのギャグセンスはなかなかのものだった
  • そんなセンスの持ち主であるマイクロソフトがセキュリティに真面目に取り組みだした
  • 宇宙人でも降ってきそう
  • AVGとAvira AntiVirと肩を並べられそうな成績はテストで出しているがまだ未知数な部分が多い
  • マイクロソフト純正で機能も最低限にシンプル。初心者にいいかと
  • 軽いとは思う
  • 定義ファイルは随時更新されている
  • 嫌われていると思いきやそんなこともなかった→http://download.cnet.com/Microsoft-Security-Essentials/3000-2239_4-10969260.html?tag=mncol
  • どうしてもオマケのアンチウィルスソフトの印象を与えてしまっているけどちゃんとしたソフト
  • We are sorry, the page you requested cannot be foundというスパイウェア対策のソフトがあるが、これはMSEに組み込まれているしvistaやwin7はインストールしなくていい。XPで入れているならアンインストールしてから、MSEをインストール
  • 退社したビル・ゲイツはわしが育てた

【使い方・詳細】


個人的な評価

全部インストールして試してみました。感想としてはどれを選んでもほとんど同じかなと思います。それぞれ細かい部分で提供されている機能に違いはありますが。まだPCを買って1ヶ月ちょっとということもありウィルスは見つかりませんでした。

ちなみに私の環境は、win7 32bit、core 2 duo p8700 2.53GHz、RAM2GB。これで全て軽快に動作してます。起動時間も気になるほど差があるようには感じません。スキャンの速さはMSEがちょっともっさりしていたかなあというぐらい。調べた限り、検出率の質についてはAvira AntiVir→AVG→avast!という印象です。MSEについてはまだよく分かりませんが、ランキングではAvira AntiVirの前後に位置していることが多いです。

私はこういうソフトウェア比較の専門家ではありませんから、数値関係なく他人のレビューや自分の感覚での感想がほとんどなので、なんとなく流す程度に参考にしてください。


とにかく、どのソフトを選ぶにしろ最新の状態を保つことが大切で、更新しなければAvira AntiVirだろうがAVGだろうが意味がないです。

一応の目安として。それぞれソフトウェアの検出率。適当に拾ってきました。

  • 新種のマルウェアに対しての数値

どのソフトウェアでも定義ファイルは随時更新されていますから、新しいマルウェアの対応はほぼ同じ質かと思います。ソフトで選ぶよりも自分のPCにあったものを選びましょう。PCによってavastがすごく重いということもあれば、AVGが重いということもあるようです。

ちなみにアンチウィルスソフトは複数インストールすると競合して面倒なことになります。常駐型でない場合は競合の心配はないかと思いますが、よくわからないなら1つにしぼりましょう。


それから私が紹介したソフト全部の比較ウェブページがありました。やっぱりAvira、AVG、avast、MSEの三大アンチウィルスソフト+1に行き着きますよね。

http://lhsp.s206.xrea.com/misc/antivirus-free.html


Dr.Web CureIt!という非インストール型アンチウィルスソフト

Dr.Web CureIt!をダウンロード

おまけ。非インストール型のアンチウィルスソフトです。インストールせず、ダウンロードして即実行することでスパイウェアやウィルス検出・駆除をしてくれます。個人で使う分には無償。

  • ダウンロードして実行するだけでスパイウェアやウィルスの駆除と修復をしてくれる
  • 定義ファイルは製品版と同じだが自動更新というわけではないので、新しいものは再度ダウンロードする必要がある。30分ごとに更新されるみたい
  • 常駐型ではないのでPCの保護はされないが、他のアンチウィルスソフトとの競合は起きない

インストールするのは面倒だから手軽にウィルスがあるかないか確認したい人や、こういった類のソフトを持ち歩きたい人はどうぞ。


無料ファイアウォール

ファイアウォール - Wikipedia

アンチウィルスソフトウェアとの相性もあるかもしれませんのでご注意。


Comodo Firewall

Comodo Firewallをダウンロード

COMODO Internet Securityというアンチウィルスソフトウェアとファイアウォールが統合された総合セキュリティソフトがありますが、そのうちのファイアウォールだけを使います。なぜファイアウォールだけなのかというと、アンチウィルスソフトの方は評判も検出率も悪いからです。最近向上したようですがもう少し様子見でしょう。

定番の組み合せとして、「Avira AntiVirやAVGなど他社のアンチウィルスソフト + Comodo Firewll」を併用して使う人が多いので、私もComodoのファイアウォールを使っています。評判も良いですしテスト結果をみても上位です→http://www.matousec.com/projects/proactive-security-challenge/results.php

また上記4つのアンチウィルスソフトとの相性はスキャンした限りでは問題ありませんでした。おそらくどれでも大丈夫かと思います。ファイアウォールだけなら初心者でも扱えると思います。使い方・詳細のページを参考にしてください。個人的に一番のおすすめ。日本語も対応。


【使い方・詳細】


PC Tools Firewall Plus

PC Tools Firewall Plusをダウンロード

これも有名なファイアウォール。Comodoと同じぐらい質は良いかと思います。使ったことはないのでわかりませんが、日本語には対応しています。2008年になにかしらの賞はとってたみたいなので信頼はできそう。でも高機能だそうで初心者には難しいかもしれません。またアンチウィルスソフトとの相性は試していないのでわからないです。


【使い方・詳細】

http://www.gigafree.net/security/firewall/pctoolsfirewallplus.html


Outpost Firewall

Outpost Firewallをダウンロード

これまた高機能なファイアウォール。質も良いようです。ただしやっぱり設定がいろいろ面倒のような気がするので、初心者にはおすすめできないかも。英語ですが日本語化できます。


【使い方・詳細】


他にもフリーのファイアウォールは探せばありますが、私は今のところComodoでいいじゃんと思っているので、Comodo推しておきます。


無料アンチスパイウェア

アンチスパイウェア - Wikipedia

上記で紹介したアンチウィルスソフトは全てスパイウェアをブロックする機能がついているのである程度大丈夫だと思いますが、最近のスパイウェアは複雑で手が込んでいるみたいなのですり抜けてくるかもしれません。そういったものを駆除したり予防するために入れておきましょう。


Ad-Aware

Ad-Awareをダウンロード

有名なアンチスパイウェアで、定番ですね。日本語対応してます。常駐でスパイウェアから保護してくれるみたいですが他のアンチウィルスソフトと競合するかもしれませんので、常駐は控えておくべきですね。常駐させなければ安心だと思います。

海外では下記のSpybotよりかなり人気があるみたいですが、日本だと評判が悪い。私は以前使っていましたがそこまで悪くなかったんですが、何かあったのかな。そういうわけでおおっぴらにはすすめられないけど、初心者でも扱えると思います。


【使い方・詳細】


Spybot-S&D

Spybot-S&Dをダウンロード

有名で高機能なソフトです。日本ではこれもメジャーですね。もちろん日本語対応してます。駆除機能以外に、免疫の機能があって、悪質なスパイウェアからPCを保護してくれます。免疫はIEやFFのブラウザなどで動作するとのこと。もしかしたらブラウザの立ち上がりなど若干遅くなるかもしれません。

常駐保護すると競合することもあるので常駐保護はさせないように。アンチウィルスソフトを入れた状態でインストールしましたが、常駐のチェックは外れただったのであまり気にせずどうぞ。初心者におすすめ。

ちなみに、よくSpybotは常駐しないと書いてありまして、それでプロセス除いたらしっかり常駐してました。SBSD Security Center Serviceというものだけど。競合はどれでもしないものだと思いますが、これは何なのでしょう?


【使い方・詳細】


SpywareBlaster

SpywareBlasterをダウンロード

スパイウェアの感染を予防するためのソフトです。駆除するソフトではないのでご注意ください。感染する前にブロックするのです。これはSpybotと併用して使っている人が多し。私も以前利用していましたが常駐しないし良かったと思います。

でもIEを使わない人はあまり意味がないかもしれません。Firefoxでも認識されていますが、防ぐのはクッキーだけでした。ActiveX関係ないですからね。

英語のみですので、解説サイトとかみて入れてください。これはスパイウェア駆除ソフトと併用して使うことをおすすめします。


【使い方・詳細】


Windows Defender

Windows Defenderをダウンロード

vistaとwin7では最初からインストールされています。またMicrosoft Security Essentialsにも組み込まれていますので、いずれかに該当する場合はインストールする必要はありません。

今使っているPCは買って1ヶ月ちょっとですが、スパイウェア対策として入っていたソフトはこれだけです。それでもまだスパイウェアに感染したことがありません。Spybotで検査したところ無害なトラッキングコードだけでした。まあFirefox使っているからだけだったのかもしれませんが。

とりあえず優秀かどうかは未知ですけど、これ1つ入っているだけでも違うかもしれません。


【使い方・詳細】


SUPERAntiSpyware

SUPERAntiSpywareをダウンロード

人気があるアンチスパイウェアです。フリーでは機能制限があり、常駐保護がなかったりします。英語ですが日本語化できました。インストールして日本語化して使ってみましたがかなり良いですよ。Spybotと比較しても使いやすいです。初心者にもおすすめできるかなと。


【使い方・詳細】


PC総合セキュリティ対策まとめ

ということで、

アンチウィルスソフトウェア + ファイアウォール + アンチスパイウェア


これでソフトウェアによる必要最低限のセキュリティ対策になるかと思います。アンチウィルスソフトは競合がおきますのでどれか1つ、ファイアウォールも1つ、アンチスパイウェアは常駐させなければいくつかインストールしましょう。アンチウィルスソフトも非常駐型であれば競合がおきないものもありますが、その辺りは自分で確かめてみてください。

また全てにおいて自己責任です。検出されたウィルスやスパイウェアが実は必要なものだったりとかあるので気をつけてください。


ちなみに私は、

avast! + Comodo Firewall + SpybotとSpywareBlasterとWindows Defender

です。avast!は個人的な好みなので、そういうことを考えなければAvira AntiVirやAVGで良いかと思います。Comodoはそのままで、アンチスパイウェアについては紹介しているものどれでも良いです。ただし予防できるSpywareBlasterは入れておいた方が無難かと。IEを使っているのなら特に。

それからWindows Defenderは初めから入ってたのでそのままにしてあるだけで、特別入れる必要はないと思います。

ところでFirefoxってあまりスパイウェア無いような気がしますが、海外サイトだったらどうなのでしょう?入ってくるのかな?この辺のことがよくわからないので念のため入れていますが。


何にしても一番楽なのは、日本だったらノートンやマカフィーの総合セキュリティソフト&サポートが楽なんですけどね。あと評判が良いESETなんかもあります。ランキングいつも上位だし、いろいろなところで勧められていました。ウィルスバスターについては…なんでもありまゲフンゲフン


紹介から外した無料ソフト

海外では評判良いけど日本で不評だったりしたものとか。適当に列挙。おまけです。

  • BitDefender Free Edition
    • アンチウィルスソフト。非常駐型。検出率高いらしい。検出テストでも名前を良く見るけどよくわからないので外しておきます
  • キングソフト
    • 総合セキュリティソフト。アンチウィルス、ファイアウォール、アンチスパイウェアがつかえるわけですが、効果のほどが微妙なのでここにおいときます
  • a-squared Free
    • アンチマルウェアソフト非常駐監視型。ウィルスやスパイウェアの駆除してくれる。検出率高いが誤検出が多いらしいのでここで
  • ZoneAlarm
    • ファイアウォール。海外ではまだ根強い人気があるが、これみてやめました
  • Spyware Doctor
    • 賞を受賞しているし、googleパックにも入っているようだけど評判がものすごく悪いので外しておきます。海外だとものすごい人気っぷりなんだけど。保護だけしてくれて駆除は有償とのこと

2.ガンブラー型ウィルス対策

最近よく話題になっているガンブラーについて。実は昨年流行っていたことも知りませんでした。

なのでガンブラーって、最初はガンダムのプラモデルかなんかかと思ってた。そうしたらコンピュータウィルスでした。そして調べるうちに混乱しました。どうやら別物のウィルスでも同じガンブラーで統一されて報道・公表していることもあって、何がなんだかさっぱりでした。これはもう、大人たちが悪い。許さない。そんな大人、修正してやる!




これが若さか…



唯一知っているガンダムネタでございました。


それぞれのウィルスを明確にしなくても対策はほとんど同じなので気にしなくてもいいのですが、感染時の対処法や感染の確認方法が違ったりしますからやっぱり危ないです。よってここではSo-netセキュリティ通信のウィルス系統の定義を採用し、ウィルスの総称をG DATAのガンブラー型ウィルスとして明確に区別します。

  • 【総括名】

ガンブラー型ウィルスとは

ガンブラー型ウィルスの定義は、G DATAの説明を引用します。

Gumbar型ウイルスに感染すると、アカウントを盗まれたり、ネット犯罪者のためのボットネットの一部にされるといった実害があります。

http://gdata.co.jp/press/archives/2010/01/post_72.htm

これが昨年と、今話題になっているウィルスのタイプです。FTPのアカウント情報を窃取され、ウェブページが改ざんされるというのが特徴的ですね。このウィルスを総称してガンブラー型ウィルスと定義します。そしてこの手のウィルスにはいくつか種類があり、大きく分けるとガンブラー系(GumblarとGumblar.x)と8080系があります。分け方→http://www.so-net.ne.jp/security/news/newstopics_201001.html#04


どちらもウェブページの改ざんという点は同じですが、ウィルスのタイプ、悪用する脆弱性、改ざんするファイルや改ざん内容が違うので別物と認識した方がいいみたいです。

8080系は現在進行形で流行っていて、最近FFFTPを機に一部で話題になりました。また昨年流行ったガンブラー系(GumblarとGumblar.x)のウィルスは現在沈静化しています。ですから、ガンブラー系(GumblarとGumblar.x)については各社ほぼ対応できているわけで、8080系があぶないよーというのが今です。


大企業のウェブサイトでも改ざんが行われている報告があります。そういった改ざんされたウェブサイトを閲覧するだけで感染してしまい、しかも一般人にも身近なウェブサイト(yahooやJRのページ)なので、誰でも感染する確立は高いです。


ガンブラー型ウィルスの感染・拡大経路

細かい部分は除いて大まかな感染と拡大経路。

  1. 改ざんされたウェブページ(A)を閲覧したとき、ページに組み込まれているJavaScriptによって攻撃サイトに誘導
  2. 誘導されたあとインストールしているソフトウェア(JavaやAdobe Readerなど)の脆弱性をついて感染
  3. 感染したユーザのFTPクライアントのアカウント情報を窃取しウェブページを改ざん(B)、または不正なプログラムをインストールさせられる
  4. どこかの誰かがまた改ざんされたページ(A or B)を閲覧
  5. (A or B)を見た人がまた感染し、以下繰り返し。こういう具合でどんどん広まり攻撃者はウヒャヒャオヒョヒョムヒョヒョヒョヒョ

これだと感染したかどうかがすぐにはっきりと分からないですね。症状としてはPCが重たくなったり、Windows Updateができなかったり、偽セキュリティソフトが入れられてたり、セキュリティ対策のサイトに入れなかったりと様々です。少しでも怪しいと感じたら調べてみましょう。


次に、それぞれガンブラー系(GumblarとGumblar.x)と8080系の特徴をあげていきます。8080系は今後変化していくので注意。


ガンブラー系(GumblarとGumblar.x)の特徴
  • 【感染タイミング】
    • ウェブページを見ただけで感染
  • 【窃取内容】
    • FTPのアカウント情報
    • その他に感染しているとき入力した様々なIDやパスワードを盗まれている可能性もある
  • 【FTPアカウント情報窃取方法】
    • FTPの通信中に窃取されると一般的にいわれている
    • キーロガー機能を持っていればキーボードで打ち込んだ時点で盗まれることもあるかもしれない
  • 【症状】
    • サイトが改ざんされている、見慣れないファイルがある等
    • ページが見つかりません(404 Not Found) | So-net
      • セキュリティ対策企業のサイトが開けない、真っ黒の画面にマウスポインタだけが表示されている等
    • no title
      • 一部のアンチウィルスソフトが更新不能、googleの検索結果がおかしい等
  • 【駆除】

今回8080系が一部で話題になったのは、ガンブラー系のようにFTP通信せずにアカウント情報が窃取できちゃう、からなんでしょうね。このあたりを誤解されたのがFFFTPというFTPクライアント。そういう理由だとSmartFTP、WinSCP、FileZillaも危ないんだとか。FTPソフトについてはまた後で詳しく書くとして。今度は今をときめく8080系の特徴。


8080系の特徴
  • 【感染タイミング】
    • ウェブページを見ただけで感染
  • 【窃取内容】
    • FTPのアカウント情報
    • 窃取というか不正なプログラムがインストールされている場合も多い
    • 実はがんばったら感染したPCだとあらゆる悪事が実行できるので、特定のこれっていうものがない
  • 【FTPアカウント情報窃取方法】
    • FTP通信に関係なく、FTPクライアントでPCに保存したアカウント情報が直接盗まれる。レジストリもファイル(xml、iniなど)でも盗める
    • FTP通信時に盗むかどうかはわからない
  • 【症状】
    • サイトが改ざんされている
      • <body>開始タグ直後や、終了タグ前にJavaScriptの変なスクリプトがおかれている(/*LGPL*/、/*Exception*/などがキーワード)
    • ページが見つかりません(404 Not Found) | So-net
      • 不正なプログラムをダウンロードさせられる、偽のセキュリティソフトが起動する等
    • no title
      • wwwpos32.exeというものが入っていたようで。亜種みたいですがこういう例もあります
    • SecurityToolとかいう偽アンチウィルスソフトが起動する。この症例が多い
    • スタートアップに変なexeファイル(siszyd32.exe、syszyd32.exe)、タスクマネージャーのプロセス上で見慣れないものが実行されていたりする(54353929.exe、_ex-08.exe、~TM119.exe)
      • スタートアップを確認するには、スタートメニューより「ファイル名を指定して実行」で「msconfig」と書いて実行するとわかると思う
    • ダウンローダーといって、不正なプログラムをPCにインストールするマルウェアがインストールさせられる。そのダウンローダーによって何がインストールされるかはっきりしていない。今多いのがSecurityToolで、最近少なくなってきた?

以上ガンブラー系と8080系の主な特徴でした。以下よりマルウェアを駆除をするためのツールと、どのマルウェアにも対応する予防対策です。


マルウェア駆除のためのツール

マルウェア - Wikipedia

マルウェアを駆除するためのセキュリティソフトや簡易ツールです。


新種マルウェアの検出率の高いアンチウィルスソフトの体験版

その場しのぎならこれらの体験版を使うのが無難かもしれません。


日本国内で有名なセキュリティソフト

日本で有名で、かつ体験版で検出と駆除ができます。


オンラインスキャンと無料アンチウィルスソフトウェア

この記事の最初の方で紹介しています。


簡易型ウィルス駆除ツール

簡易的にウィルスを検出・駆除してくれるツールです。


基本マルウェア予防対策

ガンブラー型ウィルスに限らず、全てのマルウェアの基本的な予防対策は、OSとインストールしている主要なソフトウェアを最新の状態にすること。もしそれらを利用しないならアンインストールすること、というのが原則です。

  • 【Windows Update / Microsoft Update】 -windowsとofficeソフト
    • Microsoft Update
    • officeソフトもアップデートすることに注意。Microsoft Updateでwindowsとofficeソフトがアップデートできるはず。念のためWindows Updateも。おそらくスタートメニューのプログラムとかにある
  • 【Adobe Shockwave Player】 -あまり見かけなくなったソフト
  • 【Java】 -ほとんど入っている人ばかりだからかならずチェック
    • Javaのバージョンの確認
    • バージョンを確認して、古いようだったらインストールする。無いなら、そして無くても構わないのならスルーで
  • 【QuickTime】 -iTunesが入っているとたいがい入ってるソフト

あとはSkype、Lhaplus、Firefox、Thunderbirdなども標的となりやすそうです。随時最新版にしていきましょう。


参考:


ガンブラー型ウィルス対策まとめ

ここまでいろいろ書きましたがどうやっても完璧に防ぐことはできません。これは仕方が無いことで、暇人のマルウェア作者たちが暇すぎるせいです。24時間努力しているせいです。がんばりすぎだよもう!脆弱性というのは攻撃されて初めて気づくようなもので、その前に気づくことができればいいのですがなかなか難しい。


とにかく私たちがいつも気をつけることは、

  • OSと主要なソフトウェアを日々最新版にしておくこと(これ最重要)
  • セキュリティソフトを入れておき最新に保つこと
  • ガンブラー型ウィルスでいえば、感染したときのためにFTPの利用に気をつけること
  • セキュリティに関心をもっておくこと

です。これ以上のことで気になるなら参考をみてください。


参考:



感染後の対策モデル

情報ありすぎてどうすりゃいいかわかんねーよという時のための、ガンブラー型ウィルスの感染対処モデル。

  1. 感染確認と拡大防止
    • オンラインスキャン、アンチウィルスソフト、駆除ツール等と、ウェブサイトの停止、削除。
  2. 感染していないPC確保
    • あおしまかくほー。確保できない事情であれば、先にウェブサイトを削除し、PCを完璧に修復してからFTP等のパス変更とサイトで感染告知
  3. 安全なPCからFTPその他様々なパスワードを変更
    • 感染したPCからならサイトの修正やパス変更はおよしなさい。せめて完全修復後
  4. PC修復・ウィルス駆除
    • 必要なデータはバックアップし、できればクリーンインストール
  5. セキュリティソフト導入、OSやソフトウェアのアップデート
    • また感染したら元もこもない
  6. ほっと一息ココア
    • ほんとお疲れ様でした

サイト所有者向け。感染が確認された時点で管理しているウェブサイトを確認し改ざんされているなら停止させましょう。広がってしまいます。

感染してスキャンしたり駆除ツール使って駆除できたとしても、念のため安全なPCを使って、FTPのIDとpassを含め、全ての所有するパスワードを変更を。どうやらFTP以外のものもみようと思えば見れるように改変できるみたいです。

FTP以外のアカウント情報の漏えい(技術的にはウェブメールやクラウドサービスのアカウントを取得するように改造することも可能です。)

http://www.lac.co.jp/info/alert/alert20091225.html

現在流行っているものは個人を特定して攻撃するようなものではないと思いますが念のために。ウェブサイトが気になるのならば、安全なPCから告知するなり修正するなりしてください。

とにかく感染したPCではまず何もしないことです。そしてネットワークから外しておくことです。


3.FTPの利用はもうやめよう。FTPセキュリティ対策

FTPに関してここ最近一部で話題になり、その渦中にFFFTPというFTPクライアントがありました。これはその問題点についてあれこれ掘り返すのではなく、そこからFTPについて学習をしようというものです。

この部分だけを読む人は、ガンブラー型ウィルスについての定義を予備知識としておさえておいてください。簡単に説明すると、FTPのアカウント情報を窃取するという特徴を持ったマルウェアの総称をガンブラー型ウィルスといい、そのうちガンブラー系(GumblarとGumblar.x)と8080系の2系統に分類しています。これはG DATASo-netセキュリティ通信の定義を使っています。


それからFTPについてのwikipedia。

File Transfer Protocol - Wikipedia


ここ最近起こったFFFTPに対する誤解

FFFTPが一部で話題になりました。何があったのか分からない人のために簡単にまとめておきますと、とあるセキュリティ関係の方のブログで、FFFTPでFTPのアカウント情報をレジストリに保存している場合、8080系のマルウェアに感染と同時にそのレジストリのアカウント情報が窃取されるおそれがあると警告しました。そこで、FFFTPから保存したアカウント情報のレジストリを削除し、FFFTPはアンインストールしときましょうと推奨していたのです。

つぎにどこかのライフをハックするブログが、これを「FFFTPに脆弱性があり8080系のマルウェアに感染しアカウント情報が盗まれる」というニュアンスで公表を流したことろ、一部でたちまち「FFFTPゼイジャクセイアリ、スグステロカエロレジストリケセ」という流れになったのです。


それは結果的にずれたものでした。正しい解釈は以下のURL。


FFFTPの脆弱性ではない理由

正しい解釈のポイントを絞ると、このアカウント情報が盗まれるという問題は、FFFTPの脆弱性によって8080系のマルウェアに感染し情報が窃取されるわけでは無い、ということです。

今回の件は、別の脆弱性のあったソフトウェアから8080系のマルウェアに感染したことにより、FFFTPが保存していたアカウント情報を盗まれてしまうよ、ということなのです。

そして、その感染した8080系のマルウェアによってアカウント情報を窃取されることも、アカウント情報をPCに保存(レジストリ、ファイル等)するFTPクライアントであれば、どのFTPクライアントでも盗まれる恐れがあります。今回はたまたまFFFTPがターゲットにされただけであって、その他FTPクライアント以外のソフトウェアもターゲットにされたら盗まれているかもしれません。

よって、これをFFFTPの脆弱性というならPCに何も情報を保存できないよ、という事だと思います。またFFTPはオープンソースです。アカウント情報を暗号化しているとはいえソースが見えたらパスワードを取得することも可能ですから、これが脆弱性なら「もう世の中のオープンソースは脆弱だらけよ><」なんだよ><


FFFTP脆弱性ではないことが分かったけど結局どうすればいいのか?ということで。FFFTPをこのまま使っててもいいのか、それとも何か別のFTPクライアントを使うべきなのか。


ガンブラー型ウィルスから逃れられるFTPクライアント

実はほとんどなかった。8080系のマルウェアですね。通信を盗聴したりキーロガーで盗むのではなく、FTPクライアントで保存されているアカウント情報を直接盗むタイプです。そのマルウェアにはかないません。以下が直接盗まれる可能性があるFTPクライアント。

・ALFTP 5.2 beta1

・BulletPloof FTP Client 2009.72.0.64

・EmFTP 2.02.2

・FFFTP 1.96d

・FileZilla 3.3.1

・FlashFXP 3.6

・Frigate 3.36

・FTP Commander 8

・FTP Navigator 7.77

・FTP Now 2.6.93

・FTP Rush 1.1b

・SmartFTP 4.0.1072.0

・Total Commander 7.50a

・UltraFXP 1.07

・WinSCP 4.2.5

http://www.so-net.ne.jp/security/news/view.cgi?type=2&no=2143

NextFTPユーザ勝ち組。

このように、いずれにしろマルウェアに感染すれば、だいたいのFTPクライアントで保存しているアカウント情報が盗まれる恐れがあることには変わりないです。だから、FFFTPつかってないもーんFileZillaだもーんという人でもこの脅威に関係があります。しかもFileZillaってパスワードが平文だったみたいですよ→http://mag.matrix.jp/mag/queen/log/soft/eid742.html


そういうわけで、やっぱり何をすればいいのでしょうか。次からFTPのセキュリティに関する基本的な対策を調べた限りで明確にしました。


FTPに関する基本的なセキュリティ対策

対策3つ、注意事項みたいなの1つで計4つ。


1.根本的解決はPCセキュリティを高めること

これは基本の基本です。そもそも感染しなければパスワードも盗まれません。


2.アカウント情報(パスワード)をFTPクライアントに保存しない

これも基本ですが、私は思いっきり保存していました。面倒ですから。これからは意味不明なパスワードを覚えることになりそうですけど仕方がありません。


3.FTPというセキュアでない転送プロトコルを利用しない

FFFTPをアンインストールしようと推奨されていたのはFTPの通信にも問題あるからです。FFFTPはよりセキュアなSFTPやSCP、FTPSといった方法でサーバと通信する機能がありません。(実はあった→こちら

FTPでの通信しかできないのです。だからアンインストールして、よりセキュアな転送プロトコルにしましょう、ということなんですね。何度も言いますがFFFTPに脆弱性があるからアンインストールするわけではありませんよ。


それでFTPの通信のどこに問題があるかというと、それについては引用させていただきます。

FTP (File Transfer Protocol)はそのプロトコルの仕組み上、クライアントとサーバが通信する際にパスワードが暗号化されません。この、「サーバにログインして、ファイルを書き換えたり削除できる権限を持ったアカウント情報が平文でやりとりされる」 という仕様が FTP の大きな問題点で、Gumblar もこの点を突いて感染した PC とサーバ間の通信を盗聴するなどし、FTP 情報を盗んで行くわけです。

http://hyper-text.org/archives/2010/01/ftp_security.shtml

こういうことですね。ではマルウェアに感染していなければ大丈夫なんじゃないの?ということになりますけど、これもまた引用します。上の引用文章の続き。

例えばこのパケット盗聴は自分の PC が Gumblar などのウィルスやマルウェアに感染していなければされる心配はないのかというとそんなことはありません。様々な手法でネットワークを流れる情報の盗聴は可能です。そういう意味でパスワードを暗号化せずに通信する FTP 大きなセキュリティリスクを抱えており、今の時代、大切な情報を保存してあるサーバへのアクセス時に、通常は使用しないのが前提のプロトコルだと言えます。


よって、サーバとの通信時に暗号化が行われる SFTP (SSH File Transfer Protocol) や FTPS (File Transfer Protocol over SSL/TLS) を使用するようにしましょう。

http://hyper-text.org/archives/2010/01/ftp_security.shtml

分かりやすいですね。感染していなくてもFTPの場合リスクは大きいのです。

FFFTPは私も長らく愛用していました。大変使いやすかったです。できればSSLやSSHに対応してほしかったのですが難しいようで仕方がありません。ここまでがんばってくれたので感謝です。


4.感染していたらFTPSもSFTPもパスワード保存も関係ない

パスワードを保存していない。FTPを利用せすFTPSやSFTPを利用している!

といっても、感染していたら意味がありません。感染していたら場合によってはなんでもし放題です。8080系はFTPクライアントで保存されたアカウント情報を直接盗まれてしまいますから、SFTPだのFTPSだの意味がありません。なので、何にしてもPCの基本的なセキュリティ対策をしっかりしておくことが重要なのです。


FTPに関する基本的なセキュリティ対策のまとめ

以上まとめると、

  • PCのセキュリティしっかり(最重要)
  • パスワードをFTPクライアントに保存しない
  • FTPは使わずにSFTPやFTPSなどセキュアな通信で
  • パスワードを保存していなくてFTPを利用していなくても、感染していたらなんらかの方法で盗まれる可能性がある

ということで。とにかく感染しないことです。もし感染してしまったら、マルウェアが優しいことを祈りましょう。


以上です。


FFFTPの代替ソフト

何を使おうかしらと迷ってるあなたへ。


FFFTPのパスワード漏れ対処版とFTPS化

代替ソフトの前にこちら。

FFFTPのパスワード漏れの対処版を作成してくれています。

にょろぷにらん | FFFTPパスワード漏れ対処版作ってみた


それからFFFTPでもFTPS通信ができるっぽいです。CPIのページです。WinSSLWrapというソフトを使えばいいみたい。

404 Not Found


試していないのでわかりませんが、サーバによってはできなこともあるかも。そういうときは仕方が無いですね。


FTPクライアント

メジャーなものをいくつかさがしていたのですが、このような記事を発見。NextFTP(有料)以外はFFFTPと同じように盗めるらしいです。とりあえずこの事実を念頭においておきましょう。

エラー:So-netブログ


それからこういう記事も。どのFTPクライアントでもだいたい感染したら取られます。

ご利用頂けません | So-net


適当に無料のクライアントを探してきました。


この中でWinSCPが今のところ一番良いらしいです。

調べた限りではWinSCPがマスターパスワード+AES暗号化を採用していて,安全性が高そうです.

http://mag.matrix.jp/mag/queen/log/soft/eid743.html

あとDreamweaver CS3はSFTP使えました。


SFTP、FTPSが利用できるサーバ

自分で確認したところだけ。エックスサーバーは確か前にできたような、という曖昧さですが。もう解約したので確かめようがないです。

  • CORESERVER
    • FTPSもSFTPもSCPも可。SSHは登録しなければいけない
  • エックスサーバー
    • FTPS可

終わりに

これが若さか…

スパム対策のためのダミーです。もし見えても何も入力しないでください
ゲスト


画像認証