FTPは脆弱である。だから使わない、これが結論。

簡単に設定できて管理も直感的で暗号化なんて面倒はイヤだし・・・

そんなんが本音でレガシープロトコルのFTPやSFTPを使う。

では何がダメなのか考えてみた。

　■共有したいからアカウント名が単純になりがち

　　攻撃側は、様々なアカウントでログインを試みる。

　　「ftpadmin」や「ドメイン名+admin」でftpアカウントを探査する。

　　これは玄関先で泥棒が鍵穴に道具を入れている状況に相当する。危険な状態。

　　利用中のアカウントが知られるとパスワードアタックになる。

　　対策はアカウント名も複雑化する事だ。

　　アクセスログのコード「 ５３０:ログイン拒否」に注目すべきだろう。

　■FTPは顧客と共有するので簡単には変えられない

　　顧客とファイル共有した場合、パスワード変更の都度に、顧客に知らせる

　　必要が発生する。

　　これは意外と面倒なので(意図的に)見過ごされる。

　　対策はFTPアカウントをプロジェクト単位とすべき。

　　顧客とのプロジェクトが終了すればFTPアカウントを削除すれば良い。

　　むろんアカウントのFTPルートはプロジェクト単位のディレクトリにする

　■先方のFTPクライアントが心配

　　パスワードをPCに記憶するタイプのFTPクライアントソフトはマルウエアの攻撃に

　　よって流出する。

　　コチラが十分注意しても、先方で漏れるリスクを考慮すべきだろう。

　　先方の受信担当者も局所化できれば良いが、ほぼ無理。

　　先方でアカウントが共有されるリスクを考慮すべき。

上記を考慮するとSFTPで経路を暗号化してもあまり意味が無い。

つまりFTPはイントラ以外の使用はお勧めできない。せいぜい自社ホスティングサービスのLog確認・取得用プロトコルなのだ。

データはZipパスワードを設定し、メールに添付した方がマシ。

FTPの技術的脆弱性は多数のサイトで解説されているから、そちらを参照してもらいたい。