分かっちゃいるけど難しい、アカウント情報盗用ボット対策 − @IT(情報元のブックマーク数)
川口さんのGENOウイルスのお話。
特に最近発生している、パスワードを盗み、ホームページを改ざんする事件に使われているボットのお話です。世間ではGENOウイルスやZLKONウイルスなどと呼ばれている場合もありますが、今回は「アカウント情報盗用ボット」とします。
分かっちゃいるけど難しい、アカウント情報盗用ボット対策:川口洋のセキュリティ・プライベート・アイズ(16) - @IT
このアカウント情報盗用ボットは以下のような活動をします。
1. パソコンにボットが感染
2. パソコンが使うFTPのアカウント情報(ユーザー名/パスワード/接続先情報)を盗む
3. 盗んだアカウントを外部に送信
4. 盗んだアカウントでFTPサーバにログイン
5. 対象サーバのウェブコンテンツのファイルを改ざん
6. 改ざんされたファイルを参照したユーザーもボットに感染
てか、FTPで社外から更新できるようにするのが問題だし・・・
でも社外のコンテンツベンダーが直接更新する必要ありだろうけど、必要なら、経路を暗号化して接続できる端末を限定することも必要ですね。
今後、アカウント情報盗用ボットはますます悪質に進化する恐れがあります。例えば、以下のような展開が考えられます。
- FTPでなくブログの管理画面から改ざんされる
→ログイン画面の認証情報を盗用されて改ざんされる
- FTP以外の通信形式が狙われる
→SSHやファイル共有なども危険
- ボットが利用するIPアドレスが増える
→アクセス制御が追いつかなくなる
- ボットに感染したパソコンを経由してFTPサーバに接続される
→FTPサーバへのアクセス制御が意味をなさなくなる
- FTPでの正規のアップロードの瞬間に自動的にコンテンツを改ざんされる
→FTPサーバへのアクセス制御が意味をなさなくなる
分かっちゃいるけど難しい、アカウント情報盗用ボット対策:川口洋のセキュリティ・プライベート・アイズ(16) - @IT