最近、WEBサイトの改ざん被害が多く発生しています。

原因として、
・サーバー上のソフトウェアの脆弱性の悪用
・FTP情報の漏えい
・ユーザー名/パスワードの総当たり攻撃による突破
などがありますが、今回は、「FTP情報の漏えい」について少し掘り下げてみます。

最近のWEBサイト改ざんの原因として多いのが、「FTP情報の漏えい」です。
そもそもFTP情報とは何でしょうか?

ホームページを作った人が、パソコン上にある「ホームページデータ」をサーバーに転送することでWEBサイトが出来上がります。
パソコンからサーバーへデータを転送するときに使う通信技術がFTPです。
転送の際、誰でもがサーバーに転送できてしまったら、めちゃくちゃなホームページになってしまいますので、WEBサイトの所有者だけが知っているユーザーIDとパスワードでログイン後、データを転送できるようなになっています。
このユーザーIDとパスワードをFTP情報といいます。
このFTP情報を不正に取得すれば、WEBサイトの改ざんは簡単にできてしまいます。

●原因その1 ウイルス感染
ホームページを更新する人が使うパソコンには、通常、FTPクライアントソフトというものがインストールされていて、多くの人は、そのソフトにFTP情報を保存して使っています。そのパソコンがウイルスに感染し、ウイルスがFTPクライアントソフトの保存したFTP情報を外部に送信する。これが、原因の1つ目です。

ウイルスに感染する原因は様々ですが、最近は、パソコンにインストールされているソフトの脆弱性を悪用して感染させるものが多いです。この問題を防ぐためには、
・Windows Update
・JRE(Java実行環境)
・Adobe Reader
は常に最新にしてください。

また、インターネット上からソフトをダウンロードして利用している人も多いと思いますが、これらのソフトの中には、ソフト自身に情報漏えいの問題があるものや、本来のソフトと一緒に勝手にインストールされてしまう不正なソフトによりパソコン上のデータが勝手に外部へ送信されてしまう場合がありますので、利用時には十分注意を払う必要があります。
安全が保証されない場合、わからない場合は決してそれらのソフトをインストールしてはいけません。

●原因その2 通信データを盗み読まれる
パソコンからFTPクライアントソフトを使ってWEBサーバーと通信するデータが、何者かによって盗み取られてしまう。これが原因の2つ目です。

このケースでは、盗み取られてしまうことを防ぐのは困難です。
なぜなら、インターネット上を流れる経路上のすべてにそのリスクがあり、自分の努力ではどうすることもできないからです。

では、どうすればよいか?
敵に読み取られてしまっても、通信のデータを暗号化することで、内容を知られなければよいのです。

かつてのFTPでは、ユーザーIDやパスワードも、暗号化することなくそのまま(平文)でインターネット上を流すことしかできませんでした(現在は、暗号化が可能になっています)。そのため、今でも、FTP通信を暗号化しないまま使っている人も多いはずです。
日本で利用が最も多いと思われるFTPクライアントソフトである FFFTP も、バージョン 1.97a以下では、通信の暗号化をサポートしていません。
通信の暗号化を利用するためには、サーバー側で暗号化の対応が必要です。
FTPの暗号化通信には
・FTPS(FTP over SSL)
・SFTP(SSH FTP)
があります。これらが利用できる場合は、最新版のFFFTPをこちらからダウンロードし、暗号化通信の設定を行って利用することを強くお勧めします。

●「その他の原因」への対策
FTP情報の漏えいの原因にかかわらず有効な方法は次の2つです。

・FTPの接続元の制限
サーバー側でFTPの接続元を限定できる機能がある場合は、その機能を利用します。
これにより、「あるIPアドレスからの接続のみ許可する」「あるIPアドレスからの接続は許可しない」といった設定が可能になります。ただし、この機能を利用する場合はパソコンが設置された拠点のIPアドレスも固定であることが望ましいので、その設定や費用などの面で導入が難しいことがあるかもしれません。

・FTPパスワードの変更
FTPパスワードを短い周期で定期的に変更します。簡単で確実な方法ですが次のようなリスクもあります。
・FTPパスワードを頻繁に変えることで「忘れる」リスクが高まる
・FTPパスワードを変えると他のサービスにも影響する
・暗号化しないFTPを使ってしまえば、何度変えても意味がない など

以上で今回の説明は終わりです。

信越情報では
・安全なサーバーの提供
・WEBコンテンツの保守
・パソコンやネットワークのセキュリティ対策サービス
・セキュリティに関するご相談
のサービスを行ったおりますので、お気軽にご相談ください。