通称Gumblar(ガンブラー)と呼ばれる攻撃手法により、企業サイトの改竄が相次いでいます。
改竄されているのは企業サイトですが、最初の攻撃対象はサイトの制作会社(その中のサイト管理担当者)です。
Gumblar(ガンブラー)についての技術的な説明は、他のサイトにお任せするとして・・・
肝心なのはウェブ制作に携わる私のような人間、そしてウェブ制作会社、広告代理店など、企業サイトの更新管理・運営に携わる会社のセキュリティ対策です。
Gumblarという攻撃手法が狙うのはFTPアカウントです。
FTPソフトから各サイトのFTPアカウントを盗み出す、あるいはFTP通信そのものを傍受して、FTPアカウントを取得します。
企業サイトに侵入、サイトの改竄を行うというのが大まかな特徴です。
どんな理由であれ、サイト管理担当者のPCからFTPアカウントを奪取され、クライアントのサイトが改竄された場合の責任は重大です。
クライアントおよびそのサイトの規模によっては、損害賠償責任すら問われかねません。
資金的に余裕のある大手の制作会社であればともかく、中小の制作会社は損害の補填など到底できないでしょう。
そしてこんな記事も出始めました。
■ガンブラー対策、ウェブ制作会社名の公表が有効 (nikkei BPnet)
http://www.nikkeibp.co.jp/article/column/20100208/209583/
Gumblar(ガンブラー)およびその亜種・変種による被害が拡大していけば、その制作会社を公表して責任を取らせろ!という流れになっても不思議はありません。
我々FTPアカウントを預かるサイト制作・運営・管理担当者は、できる限りの対策をして、自分で自分の身を守るしかないのです。
この業界に身を置く以上、FlashもJavaScriptも何かもオフにする・・・というわけにはいきません。
可能な対処法はざっくり言うと下記のとおり。
- OS、ブラウザ、FlashPlayer、AdobeReader、Java、QuickTimeなど、各種ソフト・プラグインを最新の状態にする。
- AdobeReaderのJavaScriptを無効する。
- FTPソフトにパスワードを記録しない。
- FTPS、SSH、SFTPなど、FTP以外の方法で接続する。
- htaccessで特定のIPのみ接続可能にする。
最初の2つは当たり前として、3つ目のパスワードを記録しないというのは現実レベルを考えると難しい。
パスワードをPC内に別途デジタルデータで保存していれば、別の手段で奪われる可能性があります。
ただ、暗号化しておけば、格段にセキュリティ度はアップするでしょう。
しかし、ただでさえ忙しいウェブ制作担当者が、サイトの更新管理の度にその都度、その手間をかけることができるかどうかは微妙です。(可能であればやるべきです)
かといって、紙でパスワードを保存するなど、盗難・紛失といった、Gumblarより遭遇確率の高いリスクにさらされます。
4つ目のFTP以外の方法で接続するという方法は、サーバーが対応しているかどうかによるので必ずしも可能とは限りませんが、現在もっとも有効ではないでしょうか?
最初に設定してしまえば、それ以降の手間は省けますし。
5つ目の特定IPアドレスのみ接続を許可するという方法も有効。
ただし、接続する制作会社、広告代理店、クライアント企業の担当者すべてのIPアドレスを固定して登録する必要があるという難点もあります。
この点で私も利用されてもらっているレンタルサーバー「heteml」とか、対処も可能な上に、説明もわかりやすく書いてありました。
■レンタルサーバー「heteml」 - Gumblarへの対策をお願いいたします
http://heteml.jp/gumblar/
【その他参考サイト】
- Gumblar(ガンブラー/別名 GENO)とは
- Gumblar (ガンブラー) ?Web 攻撃を解説
- 「ガンブラー」「サイト改ざん」めぐる基本のQ&A ~ 何が起きている? 対策は?
- GUMBLAR(ガンブラー)の対策
- Gumblar(ガンブラー)について
- FTP騒動で不安になった初心者がやっておくべきこと
どのように対策をしても、100%防ぐことはできません。
あくまでも、被害にあう(そしてクライアントのサイトを被害に合わせてしまう)確率を多少減らせる程度です。
ですが、FTPアカウントを預かる身として、最低限できることはしておくべきでしょう。
コメントする