公式サイトのFilezilla(Mac版)から、マルウェアが検出された件。(追記アリ)

Pocket

結論から言うとFillezillaには何らかのマルウェアが含まれてるっぽいから使わない方が良さそうだよ!というお話です。

事の経緯を簡単な時系列で書いてみました。時間がある時にでもご一読ください。

【(2017/01/11)追記2】
本ページを公開後、インストール版(zip形式)はウィルスが検出されるが、bz2ファイル版(インストーラ無しの本体のみ)であればウィルス検出されない、という情報をいただきました。
通りすがり様、情報提供ありがとうございます!内容追記しました。

【(2017/01/11)追記3】
アドウェアですが特に悪質なものではないようです!一番下に内容追記しました。

きっかけは、Mac OSのクリーンインストール

先日のクレカ不正利用事件からPC周りを色々と整頓して、Mac OSをクリーンインストールしました。そのせいで入れていたアプリケーション等もすべて消えてしまいました。

当然、メインで使っていたFTPクライアント「Filezilla」も消えてしまったので、再度ダウンロードしようと思い、以下のFilezillaの公式サイトにアクセス。改めてダウンロードし直すことに。

filezilla_-_the_free_ftp_solution
FileZilla – The free FTP solution https://filezilla-project.org/

上記のサイトより、Mac用のインストールパッケージ(FileZilla_3.23.0.2_macosx-x86_setup_bundled.zip)をダウンロードしました。

ダウンロードしたFilezillaのインストールパッケージを、念のためESETに放り込む

が、先日の事件からセキュリティ意識の高い僕は、まずダウンロードしたzipファイルに対し、ウィルス検索をかけることに。「まさかとは思うけど一応チェックしとこー」ということですね。

先日購入して絶賛稼働中のウィルスセキュリティソフト「ESET」に、公式サイトからダウンロードしたFilezillaのzipファイルをドラッグ&ドロップしてチェックします。

ちなみに、ESETは「スマート検査」「詳細検査」というモードが有り、デフォルトで設定されているスマート検査は検査スピードは早いですが、zipファイルなどの圧縮ファイルの中身は検査してくれません。zipファイルの中身を検査したい時は「詳細検査」にしましょう。

ESETウィルス検査の結果、以下の画面が。

結果は以下の通り。

20170110_filezilla-eset

なんと、Filezillaのインストール用zipファイルに含まれるファイルの8つのファイルのうち、2つがなんらかのマルウェアに感染しているという判定に。

マジですか。公式サイトだよね?これ・・・。

調べると色々出てくる「Filezilla危ない情報」

当然このままインストールすることは出来ないし、zipファイルの展開すらしたくありません。

怖くなってググってみたところ、Filezillaに関するマルウェア絡みの記事がいろいろと出てきました。

まず、Filezillaのスパイウェア疑惑に関する記事は日本語だと2014年のこちらの記事くらい。

無料FTPソフトFileZillaの偽物が! パスワードを盗み取るスパイ機能付き ( ソフトウェア ) – 無題な濃いログ – Yahoo!ブログ
http://blogs.yahoo.co.jp/fireflyframer/32819593.html

こちらの記事によると、「Filezilla自体オープンソース・ソフトウェアだから、それを機能そのままにスパイウェアを追加で仕込んで再配布されてたりするから、注意してね」とのこと。

でも2014年だとソースが古いなぁと思い、他にも色々見てみると、海外サイトで以下記事を発見。

FILEZILLA IS SPYWARE , and MALWARE don’t use it !… – Linksys Community
https://community.linksys.com/t5/Wireless-Routers/FILEZILLA-IS-SPYWARE-and-MALWARE-don-t-use-it/td-p/1007890

こちらの記事は2016年に書かれたものですが、思いっきり「Filezillaはマルウェア(スパイウェア)だから使うな!」って書いてますね(汗)。

こちらの方はどうやら「SOURCE FORGE」というソフトウェアの共有サイトからダウンロードしたFILEZILLAがあぶねーって書いてます。

SourceForgeはもともとはソフトウェア配布の老舗のサイトだったみたいですが、運営体制の問題かだんだんとスパイウェアが組み込まれたソフトウェアが増えて危ないサイトになっちゃったみたいですね。

GIGAZINEに以下の情報がありました。

オープンソースソフトウェアの老舗サイト「SourceForge」はいかにして堕ちていったのか – GIGAZINE
http://gigazine.net/news/20150722-sourceforge/

上記の情報だけだと、「じゃあSourceForge以外で配られているFilezillaであれば大丈夫なのかな?」と思えるのですが、さらに検索したところ、Filezilla自体のフォーラムに「公式サイトのFilezillaもマルウェア入ってるぜ」というスレッドがありました。

Malware served from filezilla-project.org/download.php – FileZilla Forums
https://forum.filezilla-project.org/viewtopic.php?t=34132

これによると、2014年の時点でhttps://filezilla-project.org/からのアップデート版にアドウェアらしきものが含まれてるようです。

ネット上で探しまくればマルウェアが含まれていないFilezillaもあるのでしょうが、ここまで来てしまうと「やっぱフリーのソフト怖えな」ということで、きちんとしたシェアウェアを探してインストールすることにしました。

※(2017/1/11追記)マルウェアが含まれてないFilezillaありました。追記2を参照のこと。

代替法を探す ⇒ Transmit 4を購入することに

ざっと探してみた所、以下のソフト・方法が良さそうだなという見解に。

・Transmit 4(Codaを作ったところが作ったFTPクライアント)
・Yummy(FTPクライアント)
・ForkLift(FTPクライアント)
・SublimeText3にSFTP入れる
・Codaで頑張る

結論から言うと、Transmit 4を購入してインストールしました。

Transmit 4はMac用のコーディングソフトとして有名なCodaを作っているPanic Inc.社が作ったソフトで、そこそこシェアもあるようです。SublimeText3にSFTP入れたりもしたのですが、やっぱりちゃんとしたFTPクライアントは一つ持っておきたいなということで、有料ですがこちらのソフトを購入しました。

Transmit 4はMacのAppStoreかPanicのTransmit 4の公式サイトで買えますが、公式サイトのほうが安いようなので、以下の公式サイトで購入しました。3,400円なり。

%e3%83%8f%e3%82%9a%e3%83%8b%e3%83%83%e3%82%af_-_transmit_-_mac_os_x_ftp___sftp___s3_%e3%82%a2%e3%83%95%e3%82%9a%e3%83%aa%e3%82%b1%e3%83%bc%e3%82%b7%e3%83%a7%e3%83%b3%e3%81%ae%e5%ae%8c%e6%88%90
パニック – Transmit – Mac OS X FTP + SFTP + S3 アプリケーションの完成形
https://panic.com/jp/transmit/

まだ使い始めなので細かい機能はわかりませんが、動きもサクサクしてていいですし、Dropboxを使ったお気に入り機能(FTP情報の共有?)等もあるようなので良さそうです。

MacのFTPクライアントでお悩みの方はきちんとしたシェアウェア買った方がいいかもね。

追記1(2017/01/10)

FilezillaはWeb界隈ではかなり有名なフリーのFTPクライアントで、僕自身もWindows/Mac両方でずっと使っていました。

しかし今回の件を通して「Filezillaは使わない方がいいかもしれない」と思うと同時に、日本で「Filezilla」でググってもFilezillaのインストール方法や便利さを礼賛する声しか出てこず、Filezillaがマルウェアを含んでいる可能性がある記事は全然出てきません

そこで注意喚起の意味も含めてブログ記事として上げています。

しかし、あくまでESETというウィルスセキュリティソフトを使ったらこういった結果になった、というだけの話でもありますし、ひょっとしたらESET自体に問題があって、「マルウェアじゃないものをマルウェア判定している」という可能性もあります。誤検出ですね。

ですので、もし他のセキュリティソフトで同様の結果が起きたり、あるいは起きずに逆にESET側に問題があるようでしたら反証情報としていただくのにも大歓迎ですので、ぜひぜひ情報をお寄せくださいませ。

追記2(2017/01/11)

通りすがり様よりコメントにて情報提供いただきまして、「インストーラ版(zip版)」ではウィルス検知されるがbz2版(本体のみでインストールが必要ないもの)は問題ない、とのことでした。実際に試してみたところ、ESETで検査した限りでありますが、確かにbz2版ではマルウェア等の検出はありませんでした。

ただ、コメントでいただいたページからは正常にダウンロードできなかったので、私は以下のページからダウンロードしました。バージョンは3.17.0.1、ダウンロードしたファイル名はFileZilla_3.17.0.1_macosx-x86.app.tar.bz2で、Macでダブルクリックすると解凍され、そのまま本体のアプリケーションファイルだけが生成されます。

filezilla_3_17_0_1_download_for_mac___filehorse_com

FileZilla 3.17.0.1 Download for Mac / FileHorse.com http://mac.filehorse.com/download-filezilla/6744/

Filezillaを使われる場合は、公式サイトで配布されているインストーラ版ではなく、上記のような本体のみのファイルを使用した方が良さそうです。

追記3(2017/01/11)

FileZilla – Sponsored Updates
https://filezilla-project.org/sponsored_updates.php

はてブのコメントを頂いたのですが、Filezillaの公式に情報があったようです。

Filezillaインストーラ版に含まれているのはマルウェアと言っても、「アドウェア」=広告を表示する機能を含むだけなようです。その広告自体も特に情報を抜き取ったり、ユーザーの行動を追跡するわけではなく単に表示するだけである、とのことでした。

ユーザーに対しては意図しない広告が表示される可能性がある、という点はアドウェアっちゃアドウェアなんですが、少なくとも公式にあるものは、スパイウェアのように情報が抜かれたりするわけではないようです。

SNSでもご購読できます。

コメント

  1. 東内拓理 より:

    当方では、「VirusBarrier」を使用していますが、こちらでもSpigotマルウェアを検出しました。

  2. 通りすがり より:

    インストーラで検出されていますが本体では検出されません。
    こちらから本体をダウンロードしましょう。
    オートアップデートでダウンロードされるファイルもこちらです。
    https://filezilla-project.org/download.php?show_all=1

  3. 通りすがり より:

    追記
    手持ちのV3.7.3以降のbz2ファイルをすべて日本語版eset 6.3.70.0で確認しましたが検出されません。

  4. 通りすがり より:

    FileZilla 3.7.3(2013年8月にダウンロード)以降のbz2ファイル(インストーラ無しの本体のみ)を日本語版eset 6.3.70.0で確認しましたが一切検出されません。
    当方では一度もインストーラは使用せずにbz2ファイルを解凍して使用中。

コメントを残す

*