セキュリティ企業のラックは5月13日、多数の匿名FTPサーバがインターネットからアクセス可能な状態にあることを確認したと発表した。取引先情報や社員名簿などのデータを誰でも閲覧できてしまうため、企業などに確認を呼び掛けている。
同社によると、公開状態にある匿名FTPサーバは約3400あり、組織や個人のものだという。明確な目的以外で公開しているのは、個人以外では大半が中小企業とみられる。アクセス可能なデータの多くは公開しても問題がないとみられるものの、請求書や見積書、年賀状の送り先一覧、従業員名簿、メールのバックアップなどのデータが見つかったとしている。
匿名FTPサーバは、インターネットを介してファイルを共有する方法としてインターネットの黎明期に普及したが、現在は手段の多様化であまり利用されていない。
明確な目的以外で公開状態にある匿名FTPサーバは、アクセス権限の設定不備など管理が適切に行われていない可能性が高く、ラックでは以下の原因を挙げている。
- 不特定多数に対して公開しているサーバであるとの認識がない
- 過去に使ったFTPサーバが利用者のいなくなった今も停止されずに放置されている
- 社員が自宅などで作業するため個人でFTPサーバを設置しており、組織としてサーバの存在を認識していない
不適切な公開状態を放置した場合、第三者が情報を取得してサイバー攻撃などに悪用したり、違法なファイルの置き場として利用したりする恐れがあるほか、不適切な管理状態が信用問題につながり、特に企業では取引停止など事業に大きな影響が及ぶ危険があるという。
ラックではFTPサーバの設置や運用状況を確認し、意図して外部公開している場合でもユーザーや権限が適切な状態にあるか、不審なファイルなどが保存されていないかをチェックして、業務での必要性を点検してほしいと呼び掛けた。
関連記事
- MongoDBへの不審なアクセスに注意、不注意で意図しない公開も
オープンソースのMongoDBを利用するシステムを探索する不審なアクセスが多数観測され、警察庁が注意を呼び掛けている。 - Googleマイマップで意図せぬ情報公開多発、「うっかり」で済めばいいが
時の流れとともにネットが進化している。だが完璧ではない。ときに逆流し、氾濫する。人々が思ってもみなかった方向にその流れが変わるかもしれないのである。 - 情報管理の“うっかりミス”でも大半の企業が処罰の対象に
データの置き忘れやメールの誤送信といったミスを処罰対象にしている企業が多いことが、労務行政研究所の調査で判明した。 - gFTP――多機能で便利なLinuxファイル転送の万能ナイフ
皆さんはFTPクライアントに何をお使いだろうか。gFTPなら、単なるFTPクライアントの枠を越え、SSHもFSPもサポートし、2つのホスト間で直接ファイルを移動させることも朝飯前だ。gFTPの実体は、多種多様な操作に対応した汎用ファイル転送ソフトウェアなのである。
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.