ガンブラーの脅威とFTPの危険性。解決法は?

AFROCK (2010年9月12日 18:03) | コメント(0) | トラックバック(0)

昨年末あたりから猛威を振るっているコンピュータウィルス、ガンブラー(Gumblar)。

JRやホンダなどの大手サイトが次々と被害にあっており、勝手にサイトを改ざんされたうえ、それを表示しただけで感染するという凶悪なウイルスです。

僕の身近の同業者の中にも被害者が何人か出ていて、改めてその脅威と、徹底した対応の必要性を痛感しています。

主な対応法は

  1. 使用ソフトを最新状態に保つ。セキュリティソフトはもちろん、office、Flashプレーヤー、アクロバットリーダーなど、最新バージョンへのアップグレードを徹底する
  2. IEは避け、FirefoxやGooleChoromeなどのモダンブラウザを使う
  3. FTPではなく、ID、パスワードを暗号化できるSFTPやFTPS対応のFTPソフトを使用する

とのこと。

恥ずかしながら、実は僕自身、これまでFTPの危険性をあまり気にせず、普通にFFFTPでファイルのアップロードを行っていました。

しかし被害にあった友人によると、これは絶対に避けた方がいいとのこと。(経験者の言葉なので説得力があります。笑)
特にクライアントのサイトを扱っている立場ならなおさらですよね。(-"-;A

ということで、今更ながらFFFTPの使用をやめ、SFTPやFTPSに対応したフリーのファイル転送クライアント「FileZilla」を導入することにしました。

FTPS/SFTP/FTPクライアント「FileZilla」
暗号化通信でより安全にファイル転送を

FileZillaはフリーでありながら、パスワードやファイルを暗号化して送受信するSFTP(Secure FTP)、FTPS(FTP over SSL/TLS)というプロトコルに対応しており、通常のFTP転送に比べ安全にファイルの送受信を行うことができます。
またWindows、Mac OS、Linuxなど、各種OSに対応しています。

実際にFilezillaを使ってみた

まず、下記から最新版のFileZillaをダウンロード、インストールします。

http://sourceforge.jp/projects/filezilla/releases/

インストール完了後、FileZillaを起動すると下記のような画面になります。

FileZilla基本画面
FFFTPと比べると情報量が多いですね。ちなみに、各部分の表示内容は

  1. メッセージログ
  2. ローカルディレクトリツリー
  3. リモートディレクトリツリー
  4. ローカルディレクトリ内のファイル一覧
  5. リモートディレクトリ内のファイル一覧
  6. 転送キュー

4、5以外はツールバーの「表示」のチェックを外すことによって表示の有無を選択することができます。
2、3、6を非表示にすれば、ほぼFFFTPと同じ見た目になりますね。(メッセージログの位置は一番上ですが。。)

さて、早速ホストの設定をし、ファイルを転送してみます。

1. メニューバーの「ファイル」>「サイトマネージャ」を選択

2. サイトマネージャが開いたら「新しいサイト」をクリックし、任意の名前を入力

100912filezilla2

3. 右側にホスト情報を入力

「サーバの種類」は、

「FTP - File Transfer Protocol」
「SFTP - SSH File Transfer Protocol」
「FTPS - 暗黙のTLS/SSL上のFTP」
「FTPES - 明示的なTLS/SSL上のFTP」

の中から、利用しているサーバーに合わせて選択します。
(ちなみにこのブログで使用しているさくらインターネットの場合は「FTPES - 明示的なTLS/SSL上のFTP」になります)

「ログオンの種類」を「インタラクティブ」にすると、クライアントにパスワードを保存せず、ログインの度にパスワードを入力するようになります。
保存した情報からパスワードが漏れる可能性も無くはないので、手間を惜しまず毎回入力するようにしましょう。

「一般」タブの内容を入力し終えたら、「詳細」タブでローカルディレクトリとリモートディレクトリの設定をし、準備は完了です。

4. サイトマネージャーで任意のサイトを選び、「接続」ボタンを押す

サーバーにアクセスし、ログオンの種類を「インタラクティブ」にした場合はここでパスワード入力します。

設定が合っていれば、接続完了。他のFTPクライアントと同じようにファイルの送受信を行ってください。
ファイルをアップするたびにパスワードを問われたりしますが、イライラせずに素直に入力しましょう。


実際に使ってみると、当初はFFFTPとの違いに戸惑いはしますが、ファイルの転送自体がFFFTPに比べて非常に速く、快適な印象です。

もちろんこれだけでガンブラー対策は万全という訳ではありませんが、少なからずリスクを減らせることは確かなはずです。

自戒の念を込めこの記事を書きましたが、僕のように、クライアントのサイトを扱う立場にありながらFTPのセキュリティの甘さをあまり意識していなかった方も、ぜひ検討をお勧めします。

カテゴリ:

タグ:

トラックバック(0)

トラックバックURL: http://banglassie.sakura.ne.jp/mt/mt-tb.cgi/387

コメントする