- 2015年5月28日
- セキュリティについて
PuTTY の悪質バージョンが発見される
どうも、こんにちは『まにお』です。
オープンソースの SSH(Secure Shell)クライアント であるPuTTY(公式では「パティ」と読むらしいが日本では「プティ」とも読まれるらしい。ちなみに私は「プティ」と読んでいる)に情報を盗み出す非公式のバージョンが存在することをシマンテックが確認した。
PuTTYとは以下参照。
Simon TathamがMIT License(オープンソースソフトウェア)で開発・公開しているリモートログオンクライアントである。
本ソフトウェアは、SSH・telnet・rlogin・raw TCP・シリアルの各通信プロトコルに対応し、サードパーティの成果も有って、WindowsやMac OS X及びUNIXからSymbian OSやWindows CEまでの様々なプラットフォームで使用できる。
(wikipedia)
この悪質バージョンを利用してユーザーが他のコンピュータまたはサーバーに接続すると、何も知らずに重要なログイン情報を攻撃者に送信する仕組みのようです。
またシマンテックによると悪質なバージョンの PuTTYは2013年の後半から出回っているようです。
またマルウェアの拡散方法は、
1.被害者が検索エンジンで「PuTTY」の検索を実行します
2.検索エンジンで、PuTTY について複数の結果が表示されます。PuTTY の公式ページを選択するかわりに、被害者は何も知らずに、感染した Web サイトを選択してしまいます
3.感染した Web サイトによってユーザーは何度かリダイレクトされ、最終的にはアラブ首長国連邦にある IP アドレスに接続します。このサイトに、偽の PuTTY のダウンロードファイルが用意されています
のようです。
対策方法としては、
①ダウンロードする前にファイルサイズを確認する
悪質バージョンは最新の正式ファイルよりかなりサイズが大きいので気づきやすいそう
②正式なサイトからのみダウンロードする
ダウンロード前に作成者または発行者の正式なサイトかチェックする
③ウイルス対策ソフトの定義ファイルを最新版に常に保つ
重要ですね
これに限らず、オープンソースソフトウェアをダウンロードする際は注意が必要ですね。
(参照元:シマンテック公式ブログ「ソースの確認を忘れずに! トロイの木馬が仕込まれたオープンソース SSH ソフトウェア」)