読者です 読者をやめる 読者になる 読者になる

そうFTPである。意外と多くの企業がいまだFTPに頼っている

 

FTPは脆弱である。だから使わない、これが結論。

 

簡単に設定できて管理も直感的で暗号化なんて面倒はイヤだし・・・

そんなんが本音でレガシープロトコルFTPやSFTPを使う。

では何がダメなのか考えてみた。

 

 ■共有したいからアカウント名が単純になりがち

  攻撃側は、様々なアカウントでログインを試みる。

  「ftpadmin」や「ドメイン名+admin」でftpアカウントを探査する。

  これは玄関先で泥棒が鍵穴に道具を入れている状況に相当する。危険な状態。

  利用中のアカウントが知られるとパスワードアタックになる。

  対策はアカウント名も複雑化する事だ。

  アクセスログのコード「 530:ログイン拒否」に注目すべきだろう。

 

 ■FTPは顧客と共有するので簡単には変えられない

  顧客とファイル共有した場合、パスワード変更の都度に、顧客に知らせる

  必要が発生する。

  これは意外と面倒なので(意図的に)見過ごされる。

  対策はFTPアカウントをプロジェクト単位とすべき。

  顧客とのプロジェクトが終了すればFTPアカウントを削除すれば良い。

  むろんアカウントのFTPルートはプロジェクト単位のディレクトリにする

 

 ■先方のFTPクライアントが心配

  パスワードをPCに記憶するタイプのFTPクライアントソフトはマルウエアの攻撃に

  よって流出する。

  コチラが十分注意しても、先方で漏れるリスクを考慮すべきだろう。

  先方の受信担当者も局所化できれば良いが、ほぼ無理。

  先方でアカウントが共有されるリスクを考慮すべき。

 

 

上記を考慮するとSFTPで経路を暗号化してもあまり意味が無い。

つまりFTPはイントラ以外の使用はお勧めできない。せいぜい自社ホスティングサービスのLog確認・取得用プロトコルなのだ。

 

データはZipパスワードを設定し、メールに添付した方がマシ。

 

FTPの技術的脆弱性は多数のサイトで解説されているから、そちらを参照してもらいたい。