GumblarがFFFTPのレジストリを標的にしているらしい

Twitterのタイムラインに「FFFTPと8080系が・・・」みたいな話が流れていたので、ちょっと気になって調べてみたのですが、GumblarがFFFTPのレジストリ情報を攻撃対象にしているということのようです。

FFFTPの作者sotaさんのサイトには下記のようなアナウンスがアップされていました。

GumblarによるFFFTPへの攻撃について

FFFTPはパスワードをレジストリに記録しております。簡単な暗号化をかけてありますが、FFFTPはオープンソースであるため、暗号の解除はプログラムソースを解析すれば可能です。Gumblarウイルスの亜種は、レジストリに記録されているパスワードを読み取り、サイト改竄に使用しているようです。上記理由により、以下のいずれかの対策をお取りください。

ただ、この問題はそもそもパスワードをPC上に記憶させることによって発生する一般的なリスクと考えるべきで、FFFTPが責めを負うべき欠陥ではないと思います。よって、あくまで対策の第一選択はウィルス感染を防ぐことであり、ダメージコントロールとしてFFFTPにパスワードを記憶させない、もしくは使用中止を検討するというのがあるべき姿でしょう。よって、FFFTPを使うのをやめればよいと言う安直な発想は避けるべきだと思います。

要は「FFFTPを使っていないか？」と聞くのではなく、「ソフトウェアのパッチはきちんとあたっているか？ソフト上にパスワードを記憶させていないか？」と聞くほうが根本的な対策になるということです。

窓の杜の下記の記事はその旨がちゃんと述べられていて安心しました。

窓の杜 - 【NEWS】「FFFTP」のパスワードが“Gumblar”ウイルスにより抜き取られる問題が発生

なお、今回は「FFFTP」が“Gumblar”ウイルスによる攻撃の標的とされたことが作者により発表されたが、これはすでにウイルスに感染した環境において、次の攻撃の足がかりとして「FFFTP」の設定が悪用されたというもので、「FFFTP」に脆弱性があることは意味しない。

そもそもFTPは暗号化されていないという別の問題もあるので、SCPやSFTPが使えればなるべくそちらを利用した方がいいとは思うんですけどね。