PR

Symantec Security Response Weblog

Your Friendly Password Archiver」より
March 13, 2008 Posted by Candid Wuest

 何らかのトラブルでデータを失いたくないのなら,定期的なバックアップが必要なことは常識である。ところが,バックアップ作業は以前に比べ複雑さが増してしまった。オンライン・サービスを利用していると,データを遠隔地に保存している可能性があるからだ。たいていの場合,オンライン・メール・サービスのアカウントを取得したら,全メールを手元のバックアップ用ハード・ディスクにアーカイブしたくなるだろう。

 このような背景から,Jeff Atwood氏が3月初めにブログで「Gmail」用のメール・アーカイブ手段を探している人(A氏)の話題を取り上げた記事を見ても驚かなかった。ところで,メール管理プロトコル「IMAP」に対応しているクライアント・ソフトなら,どれを使ってもうまくいくと思う。同ブログ記事の悲劇は,A氏が「G-Archiver」というシェアウエア・ツールに出会ったことにある。しばらくG-Archiverを操作したA氏は,Gmailのユーザー名とパスワードがハード・コーディングされており,あらかじめ埋め込まれていることに気付いた。もう少し詳しく調べたところ,このツールは利用者のメールをローカル環境にアーカイブするだけでなく,利用者のユーザー名とパスワードを使ってハード・コーディングされたGmailのアカウントにメールを送信し,遠隔地で利用者のパスワードをアーカイブすることが分かった。筆者は個人的に,G-Archiverの作者はツールの機能を拡張し,利用者にパスワード復旧サービスを提供しようとしたのではないかと疑った。これに対してG-Archiverを提供したベンダーのWebサイトによると,これは単なるコーディング・ミスで既に修正済みであるという。もっとも,このツールが利用者のパスワードを(どこかにメールで送ることを明かさず)保管する必要性について,納得できる理由は思い当たらない。したがって,パスワードを盗むつもりだった可能性の方が高い。ハード・コーディングされていたアカウントを確認したら,不注意な人から盗んだパスワードを入れたメールが1700通以上見つかった。

 バックドアを仕掛けられたソフトウエアなど,全く目新しくない。これらは,トロイの木馬の定義そのものといえる。つまり,新しいソフトウエアをインストールするときは必ずチェックしなければならない,ということだ。安全を願うことは結構だが,セキュリティや可用性の点から見ると最良の戦略ではない。新たなツールをすべて逆アセンブルするなど誰にでもできることではないが,手始めにちょっとした調査をし,評判のよいWebサイトからダウンロードするのは悪くない。ソフトウエアからパスワード入力を求められたら,すかさず用心しよう。

 A氏のパスワードがどのように扱われたか判明した後,ハード・コーディングされていた怪しいGmailユーザーは,保存していたメールをすべて削除し,パスワードを変えたと報告した。ただし,かつてG-Archiverを使ったことがあるのなら,今すぐGmailのパスワードを変えた方がよい。G-Archiverの作者は,間違いなくGmailアカウントからメールを集めるツールを持っているだろう。何者かがメールを削除する前に全パスワードをバックアップしていたとしても,驚くに当たらない。

 多くのダウンロード・サイトは,既にG-Archiverを削除済みで提供していない。当社はG-Archiverをマルウエア「Infostealer.Geemarc」として検出するようにした。

 スクリーン・ショットを提供してくれたKevin S.氏に感謝する。


Copyrights (C) 2008 Symantec Corporation. All rights reserved.
本記事の内容は執筆時点のものであり,含まれている情報やリンクの正確性,完全性,妥当性について保証するものではありません。
◆この記事は,シマンテックの許可を得て,米国のセキュリティ・ラボの研究員が執筆するブログSecurity Response Weblogの記事を抜粋して日本語化したものです。オリジナルの記事は,「Your Friendly Password Archiver」でお読みいただけます。