FTP使用のリスク

通信の暗号化欠如による情報漏洩

• 従来のFTPは通信内容が暗号化されないため、ユーザー名やパスワードなどの認証情報が平文でネットワーク上を流れる
• 公衆無線LANなどの安全性が低い通信経路を利用した場合、第三者による通信の盗聴やアカウント情報の奪取が容易に行われる
• パスワードだけでなく、転送されるファイルの内容自体も読み取られるため、機密情報の流出に直結する
• 一度認証情報が盗まれると、サイトの改ざんや不正なファイルの設置といった重大な被害を招く原因となる

安全な代替手段としてのファイルマネージャー活用

• レンタルサーバー会社が提供するWebベースのファイル管理ツールは、ブラウザのHTTPS通信によって保護されており、安全性が高い
• 自身のPCにファイル転送ソフトをインストールする必要がなく、設定情報をアプリ内に保存するリスクを排除できる
• ブラウザからサーバーパネルにログインするだけで操作が完結するため、認証経路を一元化し管理コストを抑えられる
• 簡易的なファイルの編集やアップロードであれば、外部ツールを介さないこの手法が最も推奨される

接続先偽装と中間者攻撃の脅威

• 通信経路の途中で攻撃者が介在し、正規のサーバーになりすましてデータを盗み取る中間者攻撃に対して無防備である
• 暗号化されていない通信では、送信したデータが改ざんされていても検知できず、不正なプログラムを混入させられるリスクがある
• 古いプロトコルであるため、現代の巧妙なサイバー攻撃に対する保護機能が根本的に不足している

専門的な作業におけるSFTPへの移行

• 大量のファイルを扱うなどWebツールでは不十分な場合は、通信全体をSSHで暗号化するSFTPを利用する
• 公開鍵認証方式を導入し、パスワード入力そのものを廃止することで、総当たり攻撃による不正ログインを物理的に防ぐ
• サーバーの設定画面で従来のFTP機能を完全に無効化し、攻撃を受ける可能性のある窓口を最小限に抑える

運用上の防衛策

• 業務上の必要がない限りサーバーへの接続設定をPCに残さず、利用する都度ログイン情報を入力するか、鍵ファイルで管理する
• ファイル転送を行うPC自体のセキュリティを強化し、マルウェアによって保存された接続情報が抜き取られないように対策する
• 複数の人員で作業する場合は、個人ごとに異なるアカウントや鍵を発行し、誰がいつサーバーに接続したかのログを追跡可能にする