HOME / 日記 / Gumblar(ガンブラー)を考えてみる

Date: 2010/02/05 |  このエントリーをはてなブックマークに追加  |  Tags: Gumblar, ガンブラー, WEB制作, Dreamweaver

Gumblar(ガンブラー)を考えてみる

そしてftpは生き残る

少し話題には乗り遅れた感がありますが、Gumblar(ガンブラー)について書いて見たいと思います。一応、うちの会社は、WEB制作会社、システム会社、サーバ管理会社としての立場ですので、実は結構関係が深いのですよ。

とはいえ、そのものについて今更説明するのも面倒なので、Gumblarについてはこちらを参照の程。

  • http://itpro.nikkeibp.co.jp/article/COLUMN/20090727/334548/

さて、所々でGumblarが流行ったからといって、ftpを使ってるから悪いんだという旨の書き込みを見かけます。sftpを使えばいいとか、なんとか。ちょっとそれは局所を見過ぎているかなと思います。

先ず1つめに、そもそもなぜWEB会社がftpを使っているのかを考えてみます。

私が2001年に会社を設立した頃、ftpはその時期ですでに過去のプロトコルだと思っていました。理由はNATです。ftpはポートを複数使うこともあって、厳密にルータらしくftpをNAT越えさせるのは困難です。最近のルータは頑張っていて、IPの層を越えてftpらしき物はパケットの中をみるのでほとんど問題はないのですが、元々の役割的にはIPの中身を開いてアレコレするのはルータの役割ではないはずです。

加えて、ftpのようにパスワードを暗号化せずにで流す感覚が考えられない。VPNが張れないなら、最低でもOne Time Password、あるいはftpsでいきたいところです。これとて流れるコンテンツは暗号化されていませんから不十分です。

それに比べるとsshはとても便利で、シェルログインできるだけでなく、scp、sftpすればファイルをセキュアに転送ができます。これさえ使えば、ftpなんて過去のプロトコルはいらないだろうと思っていたのです。

ところが、この仕事を始めて同じくWEBデザイン会社とつきあい始めてびっくり。WEB屋さんは、「ftpのIDとパスワードを教えてください」と聞いてくるのです。

なぜでしょう?

WEB会社には得意とするジャンルによって、様々な人材がいます。とりわけデザイン力が強いところは、むしろ紙媒体(パンフレット)をセットに売り込むところも多く、そう言うところにはSEがいないことがあります。そもそもWEB制作会社の商流は次の様に流れていきます。

  1. 広告代理店が受託する。
  2. WEB会社がデザインなどを作る
  3. WEB会社がお気に入りのWEBホスティングやレンタルサーバを選び、サイトのアップロードまでおこなう

当然、システムが入ったりすると、ウチの様な会社がデザイン会社とパートナーシップをとって、サーバ周りまで色々包括的にやることが多いのですが、WEB系の商流の王道は大体こんな感じで、これはそれなりにうまくできた物で、大変良く機能します。

問題があるとすれば、クライアントの担当者からサーバという物が見えていないことです。クライアントの担当者が「セキュリティしっかりしてね」と広告代理店に言ったところで、実際問題技術の問題は分かるはずがないわけで、せいぜいWEB会社に「お客様はセキュリティを強く気にされてます」と、念を押すだけです。これは仕事の役割としては、正しい。

ぶっちゃけ、情報セキュリティってのは、「「全体の」情報の入と出を押さえること」だと思います。

広告代理店さんにとっては、なにせ信用できる良いWEB会社とパートナーシップを取っているはずですから。そしてWEB会社はセキュリティっていっても、「○○という大手レンタルサーバ会社の月々3000円のWEBホスティングのプランにセキュリティも万全って書いてあるし」・・・等々。

WEBホスティング会社からすると、そりゃあ月々3000円のプランであっても、「セキュリティは危ないです」って書くわけないですよね(笑)均一的なサービスで、どこまでがセキュリティなのかは、WEBホスティング会社は知りませんしね。

WEB会社も、この時勢では割と予算ギリギリのほとんどデザイン費だけでやってるから、そんなことまで面倒見切れないのでしょう。言われたって予算が出なければ仕事ではありません。もちろん、安いサーバ使った方が自分の利益も増えます。当然のことです。

念のためいうと、この商流に異を唱えているわけではありません。それぞれが互いの得意としてる能力を信じ合って、割合うまく回るスキームなのです。

難しいのは、自分がやってる仕事に使う道具がどのような仕組みでできてるのか、本当に分からない時代になってきたということです。はさみが何で切れるのか全く分からないのに、切れるという事実だけで裁縫屋をしないとならない時代なのですよ。

このような商流で、上場してたりする結構大手のWEBサイトが作られていたりするのです。もし問題が起き始めたら、話が大きくなるのは、誰でもわかりますよね?

あなたが発注側のWEB担当者ならば、もう少し隅々まで気をつかって予算を使うという逃げ道もあるわけですが・・・。


次の1面を。

多くのWEBデザイン会社に人気の、WEBデザインツールとしてAdobeのDreamweaverがあります。このツールが非常に良くできていて、デザイナーじゃないですが、実は私も使っています。かつてはコンペディタとして、Adobe GoLiveがありましたが、AdobeとMacromediaの合併で事実上消えゆく運命です。他にもIBMのホームページビルダーがあるのですが、どちらかというとWEBデザイン会社ではなくて、個人の方に人気がありますよね。最近はMicrosoftがExpression WEBをやろうとしてますけど、牙城を崩すのはなかなか難しいでしょう(これについては下記のどこかで触れます)。

さて、Dreamweaverはftpでサイトのアップロード(+デプロイ)までします。優れているのは、「テンプレート」と言う名前のデザインフレームや、ライブラリ(サイト上の色々な箇所に使われているもの)の保存。それどころか、またソースコードレポジトリの様に、チェックイン、チェックアウトができ、過去のページのいくつかが保存できたりします。

これらはftpでアップロードされ、WEBホスティング用サーバのどこかにftp経由で置かれます。何処に置くかは概ね決まってるので、特別な.htaccessを書かないと、直打ちでそれらが丸見えのサイトも当然あります。一応念のために言っておくと、これらをテストサーバとして別の所に置くことが、推奨されていますが、上の商流からどうなってるかは想像してください(笑)

さすがに、全部本番機に置くのもまずいだろう?ってことで、自分用のテストサーバを用意し、そこに全てを入れて作成した後、必要なファイルだけを本番機にアップロードを行います。じゃあどうやって、本番機にファイルをアップするの?と言うことになったとき、ffftpなどのftpソフトをつかうことになるのですね。それでこの問題に繋がると。

結局デザイナーにとってのDreamweaverとは、エンジニアでいう

  • Eclipse / NetBeans / emacs / vim ...
  • cvs / svn / git / hg ...
  • diff / windiff ...
  • rsync / scp
  • Maven ...
  • 等々

を、兼ねているのです。凄いソフトです。

エンジニアはプロジェクトを完遂するために、数千、数万ものキーを叩きます。だから少しでもキータイプ数が少なくなるように、様々なツールを工夫して選んでいます。

これと同じように、デザイナはプロジェクトを完遂するために、数千、数万のマウスをクリックしていて、少しでもマウスの移動量を減らしたりクリック数を減らすためにツールを工夫して、選びます。その結果、市場構造が選んだ物が、Dreamweaverだったりするわけです。

つまりDreamweaverのこの機能を明日から使うなというのは、明日からemacs使うのやめてねとか、明日からEclipse使わないでねとか、明日からrsync使わないでねとか、明日からgit使わないでねという程にインパクトがあることなのです。

このように、多ジャンルの人が使ってるソフトのインパクトを理解せずに、「○○使ってるから悪いんだよ」と言ってしまうとすると、解決策を出さなすぎであり、局所的になってしまうのではないでしょうか?((それこそ、以前私がBlogで書いた話に繋がります。目的がただ人に下げたいだけで、本来の解決(実利)をとろうとしていないからです))


今回、「ftp(ffftp)を使うなと言う言葉」に踊らされたかわいそうなWEBデザイナーは多いと思いますが、実際問題、下記のような報告も出ています。

PC内のFTPアカウント情報を盗み出すマルウェア、JPCERT/CCが注意喚起

  • http://internet.watch.impress.co.jp/docs/news/20100203_346685.html

この中のソフト一覧だけ引用すると、下記のソフトがGumblar、その亜種のマルウェアに狙われたそうです。

  • ALFTP 5.2 beta1
  • BulletPloof FTP Client 2009.72.0.64
  • EmFTP 2.02.2
  • FFFTP 1.96d
  • FileZilla 3.3.1
  • FlashFXP 3.6
  • Frigate 3.36
  • FTP Commander 8
  • FTP Navigator 7.77
  • FTP Now 2.6.93
  • FTP Rush 1.1b
  • SmartFTP 4.0.1072.0
  • Total Commander 7.50a
  • UltraFXP 1.07
  • WinSCP 4.2.5

今回、偶々、ガンブラーやその亜種で、著名なftpクライアント達が狙われました。

仮にftpを使わなくなったとしても、この問題回避は一時的です。

パスワードを自分のパソコンに保存する限り、「難読化のレベルがどの程度か?」という話でしかないのです。あとは、マルウェアを作る側の気合いと根性だけです。貴方のftpソフトが、貴方のかわりにサーバにパスワードを送信する以上、貴方のパソコンに感染したマルウェアがftpソフトのかわりにパスワードをもらうことは可能です。

また今回、たまたまDreamweaverは含まれておりませんでした。Dreamweaverでftpを使うユーザは多いと思いますが、狙われたらDreamweaverのsftp機能((実は公開鍵に対応していないのですが・・・))を使っても同じことです。

脅威は去っていないし、一言で片づけられる問題ではない、WEB業界にとって恐ろしい問題です。

Gumblarに、どう向き合うべきか?

嘘みたいな話で恐縮なんですが、たまたま去年の8月頃、私が某銀行さんに提案したシステムでは、このようなマルウェアを予見していました。

何故かというと、ここ最近「サーバ側にウィルス除去ソフトを入れること」というRFPが、公共案件では出てくることがあり(これはこれで良いことではあると思いますが)、その意味を(WEB会社から)聞かれることが多かった為です。

実は良く読むとほとんどWindows Serverを使う場合のことを指していることが大半なのですが、UNIXのWEB系サーバにウィルス除去ソフトを入れる価値は無いわけではなくて、ファイルアップロード機能があるサイトではウィルス除去ソフトがあると良いですし、WEB制作会社が感染してサイトにインパクトを与える物をアップロードする可能性からも、防御できます。

上記で記すような商流を知っていたので、あり得ない話ではないなあということで提案に盛り込んだわけです。

仕組みはありきたりでシンプルです。

  • テストサーバ兼ステージングサーバを用意する
  • WEBデザイナーはDreamweaver等でファイルをアップロードする。
  • アップロードするファイルに対してウィルス除去ソフトを走らせる。
  • safeだった場合、シグネチャを作る。
  • シグネチャと共に、ステージングサーバからWEBサーバにコピーする。
  • シグネチャを元に、WEBサーバで改竄検知をする。

まあこんな感じです。

実際に私がした提案は、Solaris10のコンテナ機能とZFSを使っていたので、加えて、

  • 仮想サーバの外からウィルススキャンの実行
  • ZFSによるスナップショットの作成
  • 仮想サーバの外からシグネチャの作成(Solaris10の標準機能BART)
  • 仮想サーバの外から公開用の仮想サーバへ同期
  • WEBサーバのコンテンツエリアはリードオンリーファイルシステムにし、仮想サーバにマウントする。

という形で設計をしました。具体的にはもっと細かい所まで踏み込んで設計したのですが、Solaris10の固有機能を使うと、本当にセキュアなWEBサーバの構築ができます。

この方法であれば、今回のGumblarやその亜種にような脅威から、WEBサイトだけは守ることができます。ただ、残念ながらZEROデイではない場合のみです。

今回は予算の問題ではなく別の問題で流れたのですが、普通の案件でぶち当たる問題は、「このようなステージングサーバを用意を、一体誰の予算でやるのか?」ということです。

クライアントか?WEB制作会社か?それともレンタルサーバ業者か?

クライアントで無いとすれば、それは共用になります。

共用であるなら、このようなものを共用で管理しても良いのか?という問題も残ります。

脅威は終わらない

結果として業界が狙われたような形になった今回の騒動ですが、脅威はやはり続くとは思います。上記の様な方法で逃げることはできても、別の脅威はのこります。

これを書いてる最中も、こういうマルウェアが出回ったら、業界で首を吊る人が出てきてもおかしくないなーとか、色々考えるとホントに恐ろしいんですよ。

それにしても、陰鬱とした時代になってきたものです。



日記

Recent Updates

openjdk(SPARC)

SPARC用のJAVA。 最近は新しいバージョンがSPARCでリリースされず、苦労している人も多いのですが、SPARC Solarisの界隈人達がビルドして代わりに使われているものです。 Solaris 11 SPARC jdk builds
»続きを読む

Solaris11のCPU(Critical Patch Unit)の当て方

コンピュータTips/Solaris/Solaris11のCPU(Critical Patch Unit)の当て方

Solaris 11.4には4つのリビジョンがあります。 2024年4月現在、Solaris自体の開発はメンテナンスフェーズになったわけでもなく、SRU毎に、最新機能がモリモリ入っていきます。 GA(Release 版) 一応、無償のOTNライセンスの利用も可能 いわゆる、リリース時点のバージョンのことですが、現在は 利用しません 。 以前は、1〜2年に1度の頻度でリリ …
»続きを読む

Emacs.appで書類(Documents)がアクセス出来ないとき

コンピュータTips/MacOSX/Emacs.appで書類(Documents)がアクセス出来ないとき

Catalina以降の権限問題なので、システム設定のセキュリティとポリシーの中にあるプライバシー内のFull Disk Accessに、Emacs.appと/usr/bin/rubyを入れればすむ。 /usrフォルダを、プライバシーの+から入れるのは、ちょっと面倒なので、あらかじめFinderのお気に入りの中に入れておくと良いでしょう。   rubyが入るのは、Emac …
»続きを読む

SONY WH-1000XM3

自分用メモです。 ノイズキャンセラーの性能が良い。 WH-1000Xのころは、ノイズキャンセラーを有効すると、音は聞こえないのに妙な音圧があったが、それがかなり軽減。個人的には気にならなくなった。 また、WH-1000Xのころは、ノイズキャンセラーを無効にしても、なんか作られたような音が出ていたような気がしたが、割と普通に聞こえる。 USB-Cになったのも良い。飛行機でも使う …
»続きを読む

Catalina(10.15)

Catalina Beta を入れ始めたので、自分用のまとめ。 2019/10/8、Catalinaが振ってきたので製品版用に記載を変えました。 32bitアプリを確認すること。 Activity Monitorで32bitアプリがわかるので、そういうアプリがあるなら代替品を見つけておくこと。 /etc以下のいくつかのファイルをバックアップしておくこと。 /etc …
»続きを読む

ディスクの不良を確認する(iostat -EnのError等)

ディスク関係のスタックをざっくり書くと次の様になっています 例、SAS Expanderを使う場合、 例、AHCIなどを使う場合、 これらのエラーは、次の様なコマンドで知ることができます。 出力結果例 このなかで、 たとえば、SATAディスクを利用している際に負荷が上がってしまい、ディスクの応答が間に合わないシチュエーションでは、Transport Errorが一気に …
»続きを読む

2017年、新年明けまして、おめでとうございます。

日記/2017年、新年明けまして、おめでとうございます。

新年明けまして、おめでとうございます。今年もよろしくお願いします。 昨年中は、皆様にお世話になりました。 昨年は、コツコツと3年程前から行ってきた改革がある程度完成された年で、この先5年、10年を見据えて、次のフェーズへと進む為の土台が完成した年でもありました。 それにキャッチアップする形で、個々の従業員一同が、役割を自覚し、明確に動けた年であったかと考えています。 …
»続きを読む

RSA鍵認証のみにし、Password認証を無効化する

意外に覚えきれなくて、いつも忘れるので、メモついでに残しておきます。 古いOpenSSHや、SunSSHの場合は、これも無効にします。 ユーザ目線でのザックリとした説明を。OpenSSHではなく別のSSH実装も含めて考えているので、OpenSSHのソースをじっくり読んだわけではないため、間違ってたらすみません。 まず、Password認証を無効にする場合、 PasswordAut …
»続きを読む

最新  |  << 前ページ  |  次ページ >>  |  最初