フリーのFTPソフト「FFFTP」の作者がこのほど、Gumblar攻撃によってFTP接続時のパスワードが抜き取られてWebサイトが改竄される事例が多発しているのを受け、同ソフトにGumblar対策を講じるよう、呼びかけている。
FFFTPはパスワードをレジストリに記録しており、簡単な暗号化は行われているが、オープンソースであるため、暗号の解除はプログラムソースを解析すれば可能だという。
接続先のFTPサーバがSSLに対応しているかどうかで、対策が分けられている。
接続先のサーバがSSLに対応している場合は、現時点で公開されているFFFTPはSSLに対応していないため、SSLに対応したFTPソフトに切り替えすることが薦められている。
接続先のサーバがSSLに対応していない場合は、有志によって開発・公開されたパスワード漏れの対策が講じられたFFFTPを利用することが薦められている。同ソフトはマスターパスワードを使用することにより、FFFTPにパスワードを記憶させた時の安全性が向上している。
また、Gumblarによる攻撃ではレジストリに記録されているパスワードを読み取ってWebサイトの改竄をしていることから、FFFTPの設定をレジストリからすべて削除するツールも公開されている。
