- ベストアンサー
FTPは危険?Gumblarウィルス関連の話の真相とは
- FTPは最近危険だと言われていますが、それは本当でしょうか?長年ホームページを運営してきた経験から考えると、FTP接続による被害はあまり聞いたことがありません。
- 初心者の頃はウィルス感染の経験もありましたが、最近はセキュリティ対策を行っているため、FTP接続によるウィルス感染はほとんどなくなりました。
- しかし、重要なデータを含むウェブサーバーにアップロードする場合は、セキュリティ対策が必要です。ディレクトリーやパスワードの設定など、アクセスを制限する工夫が必要です。
- みんなの回答 (2)
- 専門家の回答
質問者が選んだベストアンサー
はじめまして、セキュリティの研究開発にたずさわっているものです。 まず、どれだけ危険なのかは運営されているサイトがインターネットからアクセス可能かによります。たぶんインターネットからアクセス可能ですよね? またFTPでのアクセスに対するIPアドレスの限定等の設定も行っていないと予想して、話を続けさせていただきます。 危険性について「パスワードを盗まれたり、クラックされたり、何らかの手段でホームページを改ざんされたりした経験はない」と言われますが、昨今の犯罪者はサイト内の有益な情報を盗むことが目的であり、明確にわかるような改ざんなどは行いません。また文面からするとFTPのアクセスログの検査もしておられないようですから、被害がなかったとはとても言えない状況だと認識してください。 次にFTPに対する攻撃手段ですが、まずFTPに対してIDとパスワードを可能性があると思われる文字列でログインできるか試す通信が日常的にあります。当然この方法では非効率的なので、GumblarはFTPのための管理用マシンからFTP用のID,パスワード等の情報を攻撃者に送信する手段が取られたわけです。 従って、ドメイン登録がされていて、単純なID,パスワードを設定している場合には、すでの不正アクセスが行われたと考えるべきです。それほど攻撃は日常的で進化しているのです。 このような状況における対策としては、「FTPでのアクセスを禁止する」「SSHでリモート管理を行う」「SSHでの認証は証明書による方式だけに設定する」といったところでしょう。もっとも、これらはリモート管理部分に対する対策であり、Webサーバ自身の脆弱性に対するセキュリティパッチが適用されていなければ、やっぱり乗っ取られてしまいますが。
その他の回答 (1)
- D-Matsu
- ベストアンサー率45% (1080/2394)
ftpは全ての情報(接続IDやパスワードも含む)を平文、つまり暗号化されない状態で送られます。 要するに「盗聴に対して全くのノーガード」な訳で、パスワードなど盗聴に対しては全く意味をなしません。 対応策として暗号化されたftpであるsftpやftpsというプロトコルが存在します。 まぁこれらはサーバ側で対応してなければ使えませんし、HPBにしても対応していたかどうかまではなんとも。 ただ、ついでに言わせてもらえば > かなり重要なデータを有料レンタルで借りているウェブサーバーにアップロードしようと考えている というのに、 > そもそもFTP接続を盗聴している人なんているのでしょうか? というお気楽な発想こそが最大のセキュリティホールです。
お礼
ついでに書いていただいた話が一番参考になりました。 ホームページビルダーのFTPツールは、SFTP・FTPS未対応です。ただ、内部でどういう処理をしているのか(例えば、FTP情報を暗号化して格納しているのかなど)は知りません。 ホームページビルダーが早くSFTPやFTPSに対応してくれれば、解決するのですが・・・。FTP非対応で、SFTPやFTPSのみのサーバーもあるので、早くしてほしいものです。WinSCPやFileZilla等を使うのが面倒で・・・っていうのはだめだってことですね。
補足
【訂正】調べたところ、ホームページビルダーのFTPツールですが、昨年秋発売のVersion 16からFTPS及びFTPESに対応していることがわかりました。お詫びし訂正します。そう言うわけで、ホームページビルダー16か次の17あたりを買おうと思います。