【セキュリティ】ウイルス感染したPCでの保存パスワードの窃取に対策した「FFFTP」公開(10/02/08)(16)
- 1 ◆amidaMovTg @あみだくじψ ★ sage 2010/02/08(月) 16:30:25 ID:???
- 定番FTPクライアントソフト「FFFTP」の最新版v1.97が7日公開された。最近、マルウェアに感染したPCで、「FFFTP」がレジストリに保存した
FTP接続パスワードが抜き取られてしまう攻撃事例が相次ぎ、本バージョンでは、そういったマルウェアへの対策が施された。
まず、FTPサーバーへの接続設定を保護する“マスターパスワード”機能が搭載された。
さらに、FTP接続設定を保存する際の暗号化方式として、アメリカ国立標準技術研究所(NIST)により定められた暗号化方式である“AES”が
採用された。もともと「FFFTP」では簡易的な暗号化を施した上で接続設定を保存していたが、今回の修正で暗号化強度が強化され、解読される
おそれが少なくなっている。
これらの対策は、げんげん氏による「FFFTPパスワード漏れ対処版」や、それをベースにMoca氏が“AES”暗号化機能を追加した「FFFTP パスワード
AES版」をもとにしているほか、有志による不具合報告や議論を経て生み出されたもの。
このように多くのユーザーによる自発的な協力が得られたのは、ソースコードが公開されており誰でも修正可能であったこと、そしてなにより使い勝手
のよい定番FTPクライアントとして長年着実にバージョンアップを重ねてきた実績があればこそだ。
ただ単に『このソフトは危険だ』などと決めつけてしまうのではなく、『どのように改善すればよいか』『今後もより安全にソフトを利用し続けるために何が
必要か』といった本質的な議論とそれにもとづく行動こそが、“フリーソフト文化”を今後も維持していくためには必要であると言えるだろう。
その一方で、通信を傍受するタイプのマルウェアに対しては、FTPパスワードが抜き取られるおそれが依然として残っている。これはFTPプロトコルの
制限によるもので、本ソフトの更新だけで対応するには限界がある。ユーザー側も引き続き、各種アップデートパッチの確実な適用やウイルス対策ソフト
の導入を怠らないといったマルウェアへの対策が必要だ。もし接続先のFTPサーバーがSSLなどに対応している場合は、SSL接続対応のFTPクライアント
へ移行するなどといった対策も検討してほしい。
http://www.forest.impress.co.jp/docs/news/20100208_347798.html
総レス数 16
■ このスレッドは過去ログ倉庫に格納されています
IE等普通のブラウザで見る場合 http://tubo.80.kg/tubo_and_maru.html
専用のブラウザで見る場合 http://www.monazilla.org/
2ちゃんねる Viewerを使うと、すぐに読めます。 http://2ch.tora3.net/
この Viewer(通称●) の売上で、2ちゃんねるは設備を増強しています。
●が売れたら、新しいサーバを投入できるという事です。
よくわからない場合はソフトウェア板へGo http://hibari.2ch.net/software/
モリタポを持っていれば、50モリタポで表示できます。
read.cgi@hanako ver 2011/01/22
FOX ★ DSO(Dynamic Shared Object)