FTPは本当に危険ですか？

Question

最近、FTPは危険だという話を聞きます。Gumblarと言うウィルス関連でよくそう言う話を聞きます。長年ホームページを運営してきたのですが、今までFTP接続をして、パスワードを盗まれたり、クラックされたり、何らかの手段でホームページを改ざんされたりした経験はないのですが、それでも危ないのでしょうか？初心者の頃、自分のパソコンがウィルスに感染したことは１～２回ぐらいありますが、最近は、ウィルスに気がつくようになったので、ウィルスに感染することもなくなりました。それでも危険でしょうか？そもそもFTP接続を盗聴している人なんているのでしょうか？使っているのは、ホームページビルダーのFTPツールです。今、特に心配になったのは、かなり重要なデータを有料レンタルで借りているウェブサーバーにアップロードしようと考えているからですが、どうなのでしょうか？一般の閲覧者が見ることができないように、ディレクトリーにIDとPWを設定して、アクセスを制限する予定ですが、それでも危ないでしょうか？ちょっと質問の幅が広くなってしまいますが、よろしくお願い致します。

black-hatter · Accepted Answer

はじめまして、セキュリティの研究開発にたずさわっているものです。

まず、どれだけ危険なのかは運営されているサイトがインターネットからアクセス可能かによります。たぶんインターネットからアクセス可能ですよね？　またFTPでのアクセスに対するIPアドレスの限定等の設定も行っていないと予想して、話を続けさせていただきます。
　危険性について「パスワードを盗まれたり、クラックされたり、何らかの手段でホームページを改ざんされたりした経験はない」と言われますが、昨今の犯罪者はサイト内の有益な情報を盗むことが目的であり、明確にわかるような改ざんなどは行いません。また文面からするとFTPのアクセスログの検査もしておられないようですから、被害がなかったとはとても言えない状況だと認識してください。
　次にFTPに対する攻撃手段ですが、まずFTPに対してIDとパスワードを可能性があると思われる文字列でログインできるか試す通信が日常的にあります。当然この方法では非効率的なので、GumblarはFTPのための管理用マシンからFTP用のID,パスワード等の情報を攻撃者に送信する手段が取られたわけです。

従って、ドメイン登録がされていて、単純なID,パスワードを設定している場合には、すでの不正アクセスが行われたと考えるべきです。それほど攻撃は日常的で進化しているのです。

このような状況における対策としては、「FTPでのアクセスを禁止する」「SSHでリモート管理を行う」「SSHでの認証は証明書による方式だけに設定する」といったところでしょう。もっとも、これらはリモート管理部分に対する対策であり、Webサーバ自身の脆弱性に対するセキュリティパッチが適用されていなければ、やっぱり乗っ取られてしまいますが。

D-Matsu · Answer

ftpは全ての情報（接続IDやパスワードも含む）を平文、つまり暗号化されない状態で送られます。
要するに「盗聴に対して全くのノーガード」な訳で、パスワードなど盗聴に対しては全く意味をなしません。
対応策として暗号化されたftpであるsftpやftpsというプロトコルが存在します。
まぁこれらはサーバ側で対応してなければ使えませんし、HPBにしても対応していたかどうかまではなんとも。

ただ、ついでに言わせてもらえば

> かなり重要なデータを有料レンタルで借りているウェブサーバーにアップロードしようと考えている

というのに、

> そもそもFTP接続を盗聴している人なんているのでしょうか？

というお気楽な発想こそが最大のセキュリティホールです。

FTPは本当に危険ですか？

はじめまして、セキュリティの研究開発にたずさわっているものです。

ftpは全ての情報（接続IDやパスワードも含む）を平文、つまり暗号化されない状態で送られます。

この回答への補足

似たような質問が見つかりました

関連するカテゴリからQ&Aを探す

デイリーランキングこのカテゴリの人気デイリーQ&Aランキング

マンスリーランキングこのカテゴリの人気マンスリーQ&Aランキング