FileZillaは、フリーで利用できるFTP(File Transfer Protocol:インターネットなどのネットワークを通じて、クライアントとサーバ間でファイルをアップロードまたはダウンロードする際に使われるプロトコルです)の開発プロジェクトです。
プロジェクトの成果物は、クライアントとサーバーの両方があります。
クライアントの成果物は FileZilla Client で、バイナリ版は Windows、Linux、macOS が用意されています。
以前に比べるとFTPが利用されるシーンは少なくなりましたが、現在でも利用されています。
現在のFTPのよく見られる利用シーンは、Webサイトの制作・運用におけるファイル(HTML, 画像など)のアップロード/ダウンロードです。
その他、大量のファイル共有、サーバのバックアップ作成、公開ファイルの配布などにも活用されます。
公開ファイルの配布については、他の公開方法に移行する例が多くなってきているかもしれません。
近年はセキュリティリスク(通信の暗号化なし)の観点から、SFTPやFTPSへの切り替えが進んでいます。
FileZillaは、もともとはFTPのためのツールですが、類似の目的を実現できるSFTP(SSHの暗号化を利用したFTP)やFTPS(SSLの暗号化を利用したFTP)もサポートしています。
この意味で、まだまだFileZillaは、利用の候補に挙がるソフトウェアだといえます。
このFileZillaの偽のダウンロードサイトで、偽のFileZillaパッケージが配布されていることが確認されています。
- 偽のダウンロードサイト
見た目が似ているWebサイトを用意し、そこで偽のFileZillaパッケージを配布します。 - 偽のFileZillaパッケージ
偽のFileZillaパッケージの中身の多くの部分は、本物のFileZillaパッケージと同じです。
偽のFileZillaパッケージをダウンロードしてインストールすると、本物のFileZillaが環境にインストールされます。
しかし本物のFileZillaと一緒に、脅威アクターが用意したDLLも追加でインストールされます。 - 本物部分のFileZillaは通常動作する
本物の部分のFileZillaは、動きになにも手が加えられていませんので、通常期待するように動作します。 - 悪意あるDLLも一緒に動作する
本物の部分のFileZillaは、動作時に悪意あるDLLもメモリに読み込んで動作を開始させてしまいます。
このDLLの動作は画面上にはなにも動作の様子を現しません。
しかし、マルウェアは保存されたFTP認証情報にアクセスし、コマンドアンドコントロールサーバと通信し、システム上で活動を継続すると想定できます。
このマルウェアは、なんらソフトウェアの脆弱性を悪用していません。
入手段階ではユーザに自らダウンロードさせているだけです。
設置段階ではユーザに自らインストールさせているだけです。
自己増殖するような機構を搭載しているわけでもありません。
動作内容が迷惑な内容であるだけで、ソフトウェアの振る舞いとして考えると通常のソフトウェアの範囲から逸脱している部分が少ないといえます。
これは、セキュリティソフトウェアによってはこの種のマルウェアが存在していることを検出することは容易ではないかもしれません。
今回の例のように、脆弱性を悪用することではない攻撃手法が増加している傾向がみられます。
検索結果で誘導される、類似ドメイン名で誤って訪問してしまう、といったことから侵害が開始されることになりそうです。
この種の脅威があるということを認識し、注意していく必要がありますね。
偽のFileZillaサイトが悪質なダウンロードをホストしている
https://www.malwarebytes.com/ja/blog/threat-intel/2026/03/a-fake-filezilla-site-hosts-a-malicious-download
| この記事をシェア |
|
|---|
