Follow Us.RSS

2010年4月7日(水)Gumblar 予防に効く FTPアクセス制限

  • 昨年来猛威を振るい続ける Gumblar (ガンブラー)。なんらかの対策を求められることも多くなってきました。そこで本日リリースしたバージョンに「FTPアクセス制限」機能を追加しました。

  • (2010年4月7日(水) 午後9時22分54秒 更新)
  • このエントリーをはてなブックマークに追加
    BuzzurlにブックマークBuzzurlにブックマーク

未だに猛威を振るう Gumblar 型攻撃

4月5日、独立行政法人 情報処理推進機構 セキュリティセンター(IPA/ISEC) が月例レポート「ウイルス・不正アクセス届出状況について(3月分および第1四半期)」を発表しました。

それによると、Gumblar による被害は未だに続いているようです。注意が必要ですね。

Gumblar (ガンブラー)とは下記のような攻撃のことを言います(「ウイルス・不正アクセス届出状況について(2010年1月分)」)。

「ウェブサイト改ざん」と「ウェブ感染型ウイルス(ウェブサイトを閲覧するだけで感染させられてしまうウイルス)」を組み合わせて、多数のパソコンにウイルスを感染させようとする手口(攻撃手法)の一種

ウェブサイト管理者が行うべき対策としては「ウェブサイト管理者へ:ウェブサイト改ざんに関する注意喚起」が参考になります。

この中で、特に企業が実施するべき予防策として以下の項目などが挙げられています。

ftp のアクセス制限(アクセスできる IP アドレスを制限する、VPN(VirtualPrivate Network)で接続するなど)

そこで、本日リリースした CMONOS.JP の最新版では、FTP アクセス制限を手軽に設定できる機能を追加しました。

FTP でアクセスできる IP アドレスを制限すると、たとえ管理者のパソコンがウィルスに感染し、FTP アカウントとパスワードを盗み出されたとしても、IP アドレス制限に阻まれ、攻撃者が FTP によってウェブサイトを改ざんすることができなくなります。

管理者が足がかりとなるウィルスの予防と除去に努めるのは当然といえますが、FTP でアクセスできる IP アドレスを制限しておくと、万が一の場合にも、サイト改ざん、そして改ざんされたサイトを通じたウィルスの拡散など、二次的被害を防ぐことができます。

重要なのは「FTP アクセスを制限する」という点です。ごくまれに「管理者が固定 IP アドレスであること」が Gumblar 対策に有効だと誤解してらっしゃる方がいますが、固定 IP アドレスにすること自体は Gumblar 対策になりません。

その固定 IP アドレスからのアクセス以外を遮断する場合のみ、固定 IP アドレスであることに意味があります。

固定 IP アドレスと FTP アクセス制限がセットで説明されるのは、FTP でアクセス制限設定ファイルを設置する場合、IP アドレスが固定していなければ困るからです。

ある IP アドレス以外からの FTP アクセスを拒絶するよう設定した後、別の IP アドレスから FTP でアクセスしようとしても当然アクセスできません。すると、FTP 以外のアクセス手段が用意されていない場合、FTP アクセス制限設定を解除することも、ウェブサイトを更新することもできなくなってしまいます。そのため固定 IP アドレスが必要とされるわけです。

固定 IP アドレスを必要としない「FTPアクセス制限」

ここでもう一度 IPA のレポートを読み返してみましょう。

ftp のアクセス制限(アクセスできる IP アドレスを制限する、VPN(VirtualPrivate Network)で接続するなど)

固定 IP アドレスが必要だとは書かれていません。実際、FTP でのみウェブサイトを更新するのではない場合、IP アドレスを固定しなくてもよいのです。

たとえ管理者の IP アドレスが固定されていなくても、その都度、管理者の IP アドレスからの FTP アクセス以外を遮断すれば、「アクセスできる IP アドレスを制限する」ことになります。

今回 CMONOS.JP の「セットアップアシスタント」に追加された「FTPアクセス制限」は、FTP を使わず CGI によって FTP アクセス制限設定をその都度書き換えます。また、ツールにアクセスしている接続元 IP アドレスを管理者と見なすことで、ボタン操作だけで簡単に FTP アクセス制限が設定できるようになっています。

ただし、「.ftpaccess」による FTP アクセス制限に対応していない FTP サーバでは、FTP アクセス制限を設定できません。ご注意下さい。

では実際に設定画面を見ていきましょう。

セットアップアシスタントのメインメニュー

新しく追加された「FTPアクセス制限」。

「FTPアクセス制限」画面

「FTPアクセス制限」画面。「すべての IP からの FTP アクセスを拒絶する」を選択すると、FTP アクセスを一切受け付けません。

普段は FTP によるアクセスを一切禁止しておき、必要なときのみ管理者 IP からのアクセスだけを許可すれば、固定 IP アドレスを取得することなく、強固な Gumblar (ガンブラー)拡散予防策となるでしょう。

SFTP を利用できない環境では特に有効ではないかと思います。ぜひお試しください。

更新情報

最近の記事

RSS

カレンダー

2010年5月
1
2345678
9101112131415
16171819202122
23242526272829
3031
2010年4月
123
45678910
11121314151617
18192021222324
252627282930
2010年3月
123456
78910111213
14151617181920
21222324252627
28293031
このページのトップへ