最近、FTPは危険だという話を聞きます。Gumblarと言うウィルス関連でよくそう言う話を聞きます。長年ホームページを運営してきたのですが、今までFTP接続をして、パスワードを盗まれたり、クラックされたり、何らかの手段でホームページを改ざんされたりした経験はないのですが、それでも危ないのでしょうか?初心者の頃、自分のパソコンがウィルスに感染したことは1~2回ぐらいありますが、最近は、ウィルスに気がつくようになったので、ウィルスに感染することもなくなりました。それでも危険でしょうか?そもそもFTP接続を盗聴している人なんているのでしょうか?使っているのは、ホームページビルダーのFTPツールです。今、特に心配になったのは、かなり重要なデータを有料レンタルで借りているウェブサーバーにアップロードしようと考えているからですが、どうなのでしょうか?一般の閲覧者が見ることができないように、ディレクトリーにIDとPWを設定して、アクセスを制限する予定ですが、それでも危ないでしょうか?ちょっと質問の幅が広くなってしまいますが、よろしくお願い致します。
No.2ベストアンサー
- 回答日時:
はじめまして、セキュリティの研究開発にたずさわっているものです。
まず、どれだけ危険なのかは運営されているサイトがインターネットからアクセス可能かによります。たぶんインターネットからアクセス可能ですよね? またFTPでのアクセスに対するIPアドレスの限定等の設定も行っていないと予想して、話を続けさせていただきます。
危険性について「パスワードを盗まれたり、クラックされたり、何らかの手段でホームページを改ざんされたりした経験はない」と言われますが、昨今の犯罪者はサイト内の有益な情報を盗むことが目的であり、明確にわかるような改ざんなどは行いません。また文面からするとFTPのアクセスログの検査もしておられないようですから、被害がなかったとはとても言えない状況だと認識してください。
次にFTPに対する攻撃手段ですが、まずFTPに対してIDとパスワードを可能性があると思われる文字列でログインできるか試す通信が日常的にあります。当然この方法では非効率的なので、GumblarはFTPのための管理用マシンからFTP用のID,パスワード等の情報を攻撃者に送信する手段が取られたわけです。
従って、ドメイン登録がされていて、単純なID,パスワードを設定している場合には、すでの不正アクセスが行われたと考えるべきです。それほど攻撃は日常的で進化しているのです。
このような状況における対策としては、「FTPでのアクセスを禁止する」「SSHでリモート管理を行う」「SSHでの認証は証明書による方式だけに設定する」といったところでしょう。もっとも、これらはリモート管理部分に対する対策であり、Webサーバ自身の脆弱性に対するセキュリティパッチが適用されていなければ、やっぱり乗っ取られてしまいますが。
No.1
- 回答日時:
ftpは全ての情報(接続IDやパスワードも含む)を平文、つまり暗号化されない状態で送られます。
要するに「盗聴に対して全くのノーガード」な訳で、パスワードなど盗聴に対しては全く意味をなしません。
対応策として暗号化されたftpであるsftpやftpsというプロトコルが存在します。
まぁこれらはサーバ側で対応してなければ使えませんし、HPBにしても対応していたかどうかまではなんとも。
ただ、ついでに言わせてもらえば
> かなり重要なデータを有料レンタルで借りているウェブサーバーにアップロードしようと考えている
というのに、
> そもそもFTP接続を盗聴している人なんているのでしょうか?
というお気楽な発想こそが最大のセキュリティホールです。
この回答への補足
【訂正】調べたところ、ホームページビルダーのFTPツールですが、昨年秋発売のVersion 16からFTPS及びFTPESに対応していることがわかりました。お詫びし訂正します。そう言うわけで、ホームページビルダー16か次の17あたりを買おうと思います。
補足日時:2012/02/27 16:22ついでに書いていただいた話が一番参考になりました。
ホームページビルダーのFTPツールは、SFTP・FTPS未対応です。ただ、内部でどういう処理をしているのか(例えば、FTP情報を暗号化して格納しているのかなど)は知りません。
ホームページビルダーが早くSFTPやFTPSに対応してくれれば、解決するのですが・・・。FTP非対応で、SFTPやFTPSのみのサーバーもあるので、早くしてほしいものです。WinSCPやFileZilla等を使うのが面倒で・・・っていうのはだめだってことですね。
お探しのQ&Aが見つからない時は、教えて!gooで質問しましょう!
似たような質問が見つかりました
- その他(インターネット接続・インフラ) 楽天ひかりでホームページアップロードが出来ない 1 2022/07/30 10:02
- ドメイン・サーバー・クラウドサービス FileZillaを使用してwpXサーバーに接続できない 2 2022/03/29 21:02
- サーバー FTPサーバについて詳しい方(アクセス権のないディレクトリを非表示にする方法) 4 2022/08/22 22:33
- フリーソフト 日本語に対応していないPCゲームの日本語化ファイルをダウンロードしてウィルスに感染するケースは? 1 2023/07/06 21:32
- デスクトップパソコン ウイルスに感染しないファイルのバックアップ方法について 5 2022/09/11 11:27
- アプリ Androidエミュレーター危険性は? パソコンでグーグルアプリを使用したいです 2 2022/05/10 23:28
- ASP・SaaS サーバーログイン情報とFTP接続情報の見つけ方を教えてください。 3 2023/07/24 16:19
- サーバー Googleドライブなどを使わずにテザリングAndroidでWindowsとファイル共有 1 2023/02/19 13:14
- Android(アンドロイド) Googleのファミリーリンクの危険性に気付いてしまったのですが、皆さんの感想を教えてください! 2 2023/05/09 10:01
- YouTube YouTube視聴での子どもへの害はどんなのがありますか? 小学五年の子どもがYouTubeを見たが 6 2023/01/06 10:33
関連するカテゴリからQ&Aを探す
デイリーランキングこのカテゴリの人気デイリーQ&Aランキング
-
Excelのセルにユーザー名...
-
メールをパスワードつきで送る方法
-
メールアドレスで上付きのハイフン
-
email.ne.jpのメールアドレスを...
-
メールアドレス 上バーの入力...
-
LINE Payで友だちに送金しよう...
-
CSVファイルを添付するときにパ...
-
メールのマナー編
-
メールを返信したら、英語のメ...
-
存在しないアドレスにメールを...
-
メールエラー
-
インスタでブロックされたので...
-
YouTubeが毎回ログインしないと...
-
LINE TCBというところからLINE...
-
携帯電話を解約してもSMSの受信...
-
iPhoneのiCloudメールなよです...
-
Outlookで、メールを他...
-
runas実行した時にきかれるパス...
-
インスタの捨て垢で友達のスト...
-
カカオトークについて教えてく...
マンスリーランキングこのカテゴリの人気マンスリーQ&Aランキング
-
Excelのセルにユーザー名...
-
大学定期試験過去問サイト「過...
-
LINE TCBというところからLINE...
-
メールをパスワードつきで送る方法
-
メールを返信したら、英語のメ...
-
メールのマナー編
-
インスタの捨て垢で友達のスト...
-
YouTubeが毎回ログインしないと...
-
メールアドレスで上付きのハイフン
-
メールアドレス 上バーの入力...
-
メールエラー
-
CSVファイルを添付するときにパ...
-
メールアドレスから個人を特定...
-
カカオで退会せずに、アプリだ...
-
インスタのアイコンについてるN...
-
email.ne.jpのメールアドレスを...
-
ユニクロやGUのシフト管理アプ...
-
メールアドレスを人に教えるの...
-
星の王子さまというアプリで、 ...
-
「@」(アットマーク)の無いメ...
おすすめ情報