FTP クライアントソフトの代表的なものに
ちまたの起業塾やネットで紹介される
FFFTP というものがあるのですが、

開発が終了している古いバージョンを
紹介しているのをよく見かけます。

 

フリーの FTP ソフトとして提供されているので
とても広まっている代わりに、

安全性などを無視した使い方だけしか紹介しないために
危険な状況になっている方、しかも気づいていない方が
とても多くいらっしゃるのも事実です。

 

ウェブデザイン系の会社でも、
そのような危険性をまったく知らずに危険な状態で
顧客のサーバー情報を扱っているところがごまんとあります。

 

そこで本日は、
何が危険視されているのかと、
どのように対策をすれば良いのかについてご紹介したいと思います。

 

<<本コンテンツの対象となる方>>

  • FTP クライアントソフトをお使いの方
  • セキュリティ対策に興味のある方

 

<<いったい何が起こるのか>>

FTP ソフトというのは、ウェブサーバーなどに接続して
ファイルのアップロードやダウンロードを行うソフトウェアです。

 

複数のサーバーにログインできるように、
アカウント情報を接続先のウェブサーバーの数だけ
保存できるのが一般的です。

 

逆に言えば、
「FTP ソフトの情報が漏れる=保存されているすべてのサーバーの情報が漏れる」です。

 

つまり、次のような事故が発生する可能性があるということです。

  • ウェブサイトが改ざんされる
  • ウェブサイトに悪意のあるスクリプトを仕込まれる
  • ウェブサイトに保存された顧客情報などが抜き取られる

社会的にも大きなマイナスイメージが発生するでしょうし、
その機会損失は相当な額になるでしょう。

 

<<よくある誤解>>

では FTP ソフトは危険なのでしょうか。
FFFTP は使ってはだめなのでしょうか。

 

実は、かなりの方が本質的な原因を理解していないまま、
ブログなどで脆弱性!などの煽る文章で他のサイトの間違った情報を
適当に切り貼りして記事を書くなどした結果、
誤解を生じる情報や間違った情報が浸透してしまっています。

 

よくある誤解は次のようなものです。

  • FFFTP は脆弱性があって危険
  • FFFTP 以外のソフトを使っているから大丈夫
  • パスワードを毎回手で入力しているから大丈夫
  • ウイルス対策をしているから大丈夫
  • OS のアップデートをしているから大丈夫
  • Mac OS を使っているから大丈夫

いかがでしょうか。
あなたの周りでこのような説明をしている方、いらっしゃいませんか?

 

<<本当の原因>>

先ほどの誤解にあった話は次の視点で違います。

  • FTP という仕組み自体の問題です
  • FFFTP ソフトに問題があるわけではありません
  • パスワードを手で入力しても漏れます
  • ウイルス対策では防げません
  • OS のアップデート、Mac OS であることは直接関係ありません

原因を知るには、この1番目の FTP の仕組みを知る事が重要なポイントです。

 

◎FTP の仕組みとは

FTP(File Transfer Protocol) というコンピュータ上の通信の規約です。
通信の内容は暗号化されません。

 

次の図のように、
あなたのパソコン(の FTP ソフト)とサーバーが
ネットワークを介して繋がっているという例で考えてみましょう。

[あなたのパソコン(FTP)]--(インターネット)--[サーバー]

通信の内容が暗号化されていないということは、
上図の通信経路(線上)は全て危険だということになります。

 

つまり、

  • パスワードを手で入力しても、
    「LAN」「インターネット」の部分で盗聴の可能性があります。

  • ウイルス対策をしても、
    「あなたのパソコン(FTP)」にウイルスが入らないだけです。

  • OS のアップデートをしても Mac OS であっても、
    「あなたのパソコン(FTP)」部分の脆弱性が守られるだけです。

  • FFFTP の脆弱性と言われていたのは、
    Windows OS もつレジストリに保存されたアカウント情報を
    ウイルス(Gumblar など)が漏洩させたのが原因であり、
    FFFTP そのものの脆弱性ではありません。

 

<<どのように対策するのか>>

もっとも大事な事は、FTP を利用するのをやめることです。

 

そして暗号化機能がない FTP ではなく、
SFTP(SSH File Transfer) や
FTPS(File Transfer Protocol over SSL/TLS) などの
暗号化機能がついたものを利用することです。

 

FFFTP はこのどちらにも*対応していない*ため、
弊社では利用を推奨していません。

※FFFTP は有志がバージョンアップしているものもあり、そちらは OK です

 

SFTP や FTPS は、利用できないレンタルサーバーもあります。

月数百円程度の安いところの多くで利用できないので、
セキュリティの観点からすると利用しないのが良いでしょう。

弊社が価格だけでレンタルサーバーをおすすめしない理由です。

 

<<まとめ>>

今回の話で、使うソフトとサーバーの組み合わせが大事だと
気づいていただければ素晴らしいです。

 

こういった話は非常に基本的なお話しで応用が利く知識なのですが、
結果を出すことを優先していつまで経っても手つかずのまま
危険な状態で放置してしまう方を多く見かけます。

 

自分で学んでいただくか、
時間がないなら弊社のようなサービスを利用いただくことで、
万が一をなくしていただきたいものです。

 

改ざんや漏洩されてから相談されても
できることは限られているのが現実ですから。

 

その他、IT 関連の疑問があれば、お気軽にご相談ください。

※Excel や Word などのソフトの疑問などでも大丈夫ですよ!