今さら?と思われるかもしれませんが、ガンブラーについて。

猛威を振るっているガンブラー。
大手企業のwebサイトでも感染がたくさんでていますね。
ということは、おそらく個人のパソコンレベルだと、自覚のないまま感染している人も多く、相当ひろがってるのではないでしょうか。

■詳しくない方でも解るように簡単な説明
「ホームページ」は大抵の場合において、パソコン上でページを作って、そのデータを世界中からアクセス可能な「サーバ(大きなパソコンくらいの認識でOK)」にコピーします。
そのコピーのときに使うのが、「FTP」という通信手段です。(電話やメールではなく、FTP、位の感覚でOK)
「FTP」で通信する時は、そのサーバの「アドレス」「ID」「パスワード」の三つが必要になります。
逆に言うと、「アドレス」「ID」「パスワード」を盗まれちゃうと、誰でもホームページを改ざんできちゃうのです。

で、ガンブラーというのは、その3点セットを盗んじゃうウイルスなんです。
さらに盗んだあげく、サーバのデータに、ウイルスを仕込んじゃって、さらに感染者を広げます。

トゥーウェイズでの、web制作会社としての対応をご紹介します。


■制作側の対応
1)FTPを使わない
FTPは、通信手段のひとつ、と書きましたが、実は、通信は盗聴可能です。

ネットを見ていると、よく見るとアドレスが普通は「http://」で始まるのに、「https://」から始まっていることってありませんか?
あれは、暗号化が行われているページですよ、ということです。
ブラウザでホームページを閲覧する手段(HTTP)も、FTPと手段が違うだけで、結局はサーバとパソコンとの通信のやり取りなのですが、FTP、HTTPは通信が暗号化されていないのです。
HTTPSとなると、通信が暗号化されているので、サーバと、閲覧者とのやり取りが、途中で漏れません。
クレジット決済のページなどが暗号化されているのは、途中の盗聴を防ぐ為です。

つまり、FTPは盗聴されると、ID、パスワードも盗聴され、盗まれてしまいます。
HTTPに対するHTTPSのように、FTPでも通信を暗号化するSFTPというものがあります。
基本的にはSFTPで通信を行い、盗聴を防ぎます。

ガンブラーに感染したマシンはネットワーク上に流れるFTPのID、パスワードを盗聴して利用します。
FTPでなくSFTPにすれば、盗聴ができない為、同一ネットワークで感染したマシンに盗聴されてデータを書き換えられる、ということはなくなります。
セキュリティを考えるのなら、FTPでなく、SFTPのみアクセスを可能とした方が良いでしょう。
ただ、お客様のサーバによっては、FTPしか使えない所も多く、そこは仕方なく利用しています。

2)外部にデータを送ることができるパソコンを限定する
ウイルスは、ソフトウェアの一種です。
Windows用のソフトがMacで動かないように、Windows用のウイルスは、Macでは動きません。
そのため、FTP/SFTPを利用してファイルをサーバに送ることができるマシンは、Macのみに限定しています。
Windowsで制作を行っても、その後一旦Macにデータを集約し、そこからアップロード作業を行います。
WindowsからMacへのファイル移動も、FTPを利用しません。

3)ウイルス対策ソフトの導入など
ウイルス対策ソフト、ソフトウェアアップロード等は常に行い、最新情報を取得することも対策のひとつです。
特に、ガンブラーはAdobeReader、FlashPlayerのセキュリティホールをついてくるので、これらは最新版にアップするようにしましょう。
WindowsやMacのアップデートも常にしておきましょう。

■サーバ側の対応
1)FTPを使えないようにする
上に書いたように、盗聴を不可能にすることによって、セキュリティ強度を上げます。
トゥーウェイズでは2台のwebサーバを外部に持っていますが、FTPは利用できなくしています。

2)ファイルをアップできるIPを限定する
IPというのは、接続の時に家や会社に振り分けられる接続用の住所です。
(ここにいるからここにデータちょうだい、という為に必要です)
基本的に、IPは、ネットに接続する度に違うIPが振られるため、IPを制限することは難しいのですが、プロバイダによってIPをいつも同じものを振り分ける、固定IPサービスを行っている場合があります。(月額数千円〜1万円程度)

webサーバ側で、特定のIPからのみFTP/SFTPでデータをアップ可能とします。
そうすることによって、例えID・パスワードが漏れたとしても、外部からの改ざんはされません。

トゥーウェイズでは、東京、大阪と固定IPを利用しており、webサーバではそのIPからのアクセスしか受け付けないような設定を行っています。

3)ログのチェック
ガンブラーでなくとも、サーバは常に攻撃を受けています。
毎日ログをチェックして、怪しいアクセスがないかチェックするのがとても大事です。

ブログランキング このエントリーをはてなブックマークに追加