2019年2月19日火曜日

FileZillaのマルウェア自動ソフトインストールはしない模様

昨日の記事で、macOS用のFTPクライアントソフトに、FileZillaがあるが、インストーラー版に、マルウェアが仕込んであり、インストールすると、自動的に第三者のアプリがインストールされる、と書いた。その後、いろいろ調査して、わかったことと、修正すべきことがあるので、改めて書いてみたい。まず、FileZillaの公式サイトでは、推奨ファイルダウンロード画面がある。Quick download linksという章で、「Download FileZilla Client」というボタンを押すと、OSに応じたダウンロード画面になる。ここで、緑色の「Download FileZilla Client」というボタンを押すと、マルウェア入りのインストーラーがダウンロードされる。マルウェアなしの実行ファィルだけをダウンロードしたければ、More download optionsという章の、Show additional download optionsというリンクをクリックすると、別画面になり、FileZilla_x.xx.x_macosx-x86.app.tar.bz2というリンクからダウンロードすれば、マルウェアなしの本体ファイルが手に入る。緑色のボタンには、下に「This installer may include bundled offers.」と、第三者のソフトを提供する機能を有している、と注意書きはある。緑色のボタンを押すと、dmgファイルがダウンロードされ、dmgファイルを解凍すると、インストーラーが起動する。実はここで誤解があるのだが、無関係のソフトは自動ではインストールされない。インストーラーを進めていくと、途中で「こういうソフトもあるけれど、インストールする?」と聞いてくる画面がいくつか現れる。この時、明確に拒否すれば、FileZillaだけをインストールすることが可能である。僕のMacの環境では、macOSのセキュリティ機能なのか、Virus Scanner Plusの保護機能なのか、インストーラーが「第三者のソフトのインストールをする?」と聞く画面をスキップして、インストールしてしまった。そのため、有害ソフトのインストールを免れていると思われる。どちらにしても、この先、このソフトを使っていくには細心の注意を払う必要はありそうなので、メッセージには気をつけたいところである。

0 件のコメント:

コメントを投稿