ニュース

アーカイブ | RSS |
豆知識
もっとも身近でありながら、実は危険なプロトコルであるFTPに潜むセキュリティリスク

Webサイトを運用している人なら、必ずといっていいほど使ったことがあるFTP。サーバへHTMLファイルなどを転送する際の代表的な通信手段です。

しかし、このもっとも身近なFTPが、実はセキュリティ的に危険な通信手段であったことをご存じでしょうか。今回は、普段あまり意識せずに使っているFTPに潜むリスクと、その対策を紹介します。



FTPというと、「FFFTP」のようなファイル転送ツールをイメージする人も多いかもしれませんが、正確には「File Transfer Protocol」という通信規約の略称です。FTPはメールなどに比べ、大容量のデータ転送に適しているため、サーバへファイルをアップロードしたりダウンロードしたりする際の通信手段として、古くから利用されてきました。

しかし、サーバ運用に携わる多くのエンジニアたちの間では、FTPは危険な通信手段であるという認識が一般的だということをご存知でしょうか。その理由は、FTPが、サーバと通信する際に、すべての情報が平文で行われている点にあるからです。

そもそもFTPは、特定ホスト間でファイルを転送する目的で作られたプロトコルであるため、通信の最初にユーザーIDとパスワードによって通信相手を確認する認証プロセスがとられています。

しかし、FTPでは、このユーザーIDとパスワードが平文で通信されているです。つまり、ユーザーIDとパスワードが暗号化されていないので、その通信経路に接続されている機器からならば、簡単にその内容を盗聴できてしまうというわけです(特に、海外サーバのようにクライアントマシンとサーバの距離が遠くなれば遠くなるほど、その経路に接続されている機器の数が増え、盗聴リスクも高まります)。

ある意味、FTPで通信するのは、銀行のATMにお金を引き出しに行く道中を、胸にキャッシュカードと、その暗証番号を貼って歩いているのと変わらない行為といえるわけです。

とはいえ、サーバにログインし、ファイルを書き換えたり削除できる重要な権限を持ったアカウント情報が、なぜそんな危険な通信規約で今も多くのユーザーに使われているのか不思議に思われるかもしれません。

その大きな理由は、FTPに代わる安全な通信手段に対応したサーバが少ないことと、使い方が簡単なFTPを手放さないユーザーが多いことが理由だといわれています。


では、FTPに代わる安全な通信手段には、どのようなものがあるのでしょうか。代表的なものとしては「FTPS」と「SFTP」があります。
FTPSは、File Transfer Protocol over SSL/TLSの略で、SSL通信の暗号化技術を使ってデータの送受信を行う仕組みです。SSL自体は、Webサイトの通信を暗号化する技術としてご存じの人も多いと思いますが、基本的な仕組みは同じと考えれても問題ありません。そのためFTPSを導入するには、サーバ側にSSL証明書を設置する必要があります。

一方、SFTPは、SSH File Transfer Protocolの略で、 SSH(Secure SHell)によって通信が暗号化されるファイル転送の仕組みです。もともとSSHはサーバにログインしてコマンドを実行するなど遠隔操作するものであるため、セキュリティ面でも鍵暗号方式を採用するなど高い安全性が確保されています。しかも「WinSCP」などのツールを使えば、コマンドを知らないユーザーであっても、FTP感覚でファイルの転送を行うことができます。

ただし、この2つの方法を利用するには、ホスティングサービスがFTPSやSFTPに対応したものであり、かつFTPSやSFTPに対応したクライアントソフトを使うことが前提なります。最近ではFTPSやSFTPに対応したホスティングサービスも、増えてきています。ただ、一部の共用サーバサービスでは、そもそもユーザーがSSHを使ってコマンドを実行することが、別のリスクにつながる可能性もあるためにSSH自体を許可していないサービスもあるので注意が必要かもしれません。

ただ、もっと注意すべきなのは、ホスティングサービスがFTPSやSFTPに対応していても、それを知らずにFTPを使い続けているユーザーが多いことです。もしもあなたが今もFTPのまま使用しているなら、これを機会にFTPSやSFTPに変更することをお勧めします。


●FTPSに対応したクライアントソフト

filezillaはこちらこちらから。
SmartFTPはこちらこちらから。
WinSCP(Windowsのみ)はこちらこちらから。
Cyberduck(Macのみ)はこちらこちらから。

    この記事をはてなブックマークに登録 この記事のはてなブックマーク数     参照数:1982    2014-06-15 07:09:41



投稿された内容の著作権はコメントの投稿者に帰属します。

ログイン 新規クリエイター登録
新規クリエイター登録 新規クリエイター登録

Direct Function

最新ニュース

スポットジョブ最新検索

Sponsored Link

SPOT PRICE PickUp

 

 

 

 

SPOT TIPS

登録クリエイター最新作品

Sponsored Link