去年あたりから、「Gumblar (ガンブラー)」 に代表されるような、FTP のアカウント情報を何らかの手段で盗み出して Web サーバにアクセスし、Web サイトを改竄して被害を広めていくタイプのウィルスが問題になっていますが、今日になって広く利用されているフリーの FTP クライアントである 「FFFTP」 にアカウント情報漏洩の危険性が見つかったということで話題になっていました。
ただ、この問題で、FTP 自体の危険性と FFFTP 自体の特性、さらに Gumblar 対策という点で少し情報が混乱している状況が見受けられます。そこでその点を簡単にまとめてみました。
まず、ありがちな誤解から。
- Gumblar って FFFTP を狙ったウィルスだったんだね。
- FFFTP に脆弱性があったのか。怖いなあ。
- 私は FFFTP を使ってないから安心したよ。
- 他の FTP クライアントを使えばいいんでしょ?
- パスワードを PC に保存しないで毎回打ち込めばいいでしょ?
- SFTP とか FTPS で接続してるから Gumblar なんか怖くないよ。
どうですか?周りにこんなこと言っている人いないでしょうか。まず話を整理しましょう。
- 今回の FFFTP の件はソフトウェアの脆弱性じゃないです
- 最も重要なのは根本的な Gumblar 対策
- FTP 自体を基本的には使用しない
- 「パスワードを PC に保存しない」 は解決策じゃない
- どうしても FTP を使わないといけない場合は?
それぞれ説明していきます。
1. 今回の FFFTP の件はソフトウェアの脆弱性じゃないです
まず、上記、窓の杜さんの記事内でも書かれていますが、今回の FFFTP がレジストリに書き込んだ FTP 情報がウィルスによって抜き取られるという問題は、高いシェアを誇る FFFTP が採用した 「レジストリに設定情報を保存する」 という方式を Gumblar の亜種がターゲットにしたからですが、これと FFFTP 自体に脆弱性があるという話はイコールではありません。
他にもレジストリに設定情報を保存する FTP クライアントは存在するかもしれませんし、どんなソフトウェアでも、PC 内のどこかしらに設定情報は保存しているわけで、これを脆弱性と言ってしまっては PC 内に情報を保存できなくなってしまいます。(FFFTP も設定情報は暗号化した上で保存しています)
2. 最も重要なのは根本的な Gumblar 対策
当たり前すぎてなんですが、ウィルス対策ソフトを入れてきちんとアップデートしておく、OS、ブラウザやそのプラグインなど各種ソフトウェアのアップデートを行う、不用意に添付ファイルを開かない、怪しいサイトに行かない…など、Gumblar に限らず、ウィルスやマルウェアに感染しないための対策が最も重要なのは言うまでもありません。
参考リンク
3. FTP 自体を基本的には使用しない
FTP (File Transfer Protocol) はそのプロトコルの仕組み上、クライアントとサーバが通信する際にパスワードが暗号化されません。この、「サーバにログインして、ファイルを書き換えたり削除できる権限を持ったアカウント情報が平文でやりとりされる」 という仕様が FTP の大きな問題点で、Gumblar もこの点を突いて感染した PC とサーバ間の通信を盗聴するなどし、FTP 情報を盗んで行くわけです。
で、例えばこのパケット盗聴は自分の PC が Gumblar などのウィルスやマルウェアに感染していなければされる心配はないのかというとそんなことはありません。様々な手法でネットワークを流れる情報の盗聴は可能です。そういう意味でパスワードを暗号化せずに通信する FTP 大きなセキュリティリスクを抱えており、今の時代、大切な情報を保存してあるサーバへのアクセス時に、通常は使用しないのが前提のプロトコルだと言えます。
よって、サーバとの通信時に暗号化が行われる SFTP (SSH File Transfer Protocol) や FTPS (File Transfer Protocol over SSL/TLS) を使用するようにしましょう。SFTP に対応したクライアントとしては WinSCP、FTPS 対応クライアントとしては NextFTP (シェアウェア) がそれぞれ個人的なオススメです。
4. 「パスワードを PC に保存しない」 は解決策じゃない
今回の FFFTP の件では PC に保存された設定情報が盗まれるので、「パスワードを毎回手入力するようにして PC に保存しなければいいんじゃないの?」 と思われる方もいるかもしれませんが、FTP で接続している以上、前述の通りパケット盗聴で漏洩する危険は排除されていないため、全く解決になっていません。
また、SFTP などで通信を暗号化していたとしても、Gumblar の亜種にはキーロガー機能を持ったものも確認されているようですので、パスワード入力時に漏洩する危険と無縁ではありません。 (SFTP などを使ってるので Gumblar と無縁ということはないということです)
5. どうしても FTP を使わないといけない場合は?
とはいえ、サーバが SFTP や FTPS に対応していなくて、その変更もできないなど、どうしても FTP での接続をしないといけない場合もあります。その場合、ベターな方法としては、必要な時だけワンタイムのパスワードを発行し、作業が終わったら FTP アカウントを無効にするといった対策等が挙げられます。作業効率は落ちますけどね。
しかし上記はあくまで妥協策です。サーバの設定変更などで SFTP や FTPS に可能対応なのであれば、そちらを使うようにしましょう。格安のレンタルサーバでもさくらインターネットさんなどは、SFTP に対応していますし (スタンダードプラン以上)、サーバ選定の際にこの辺も確認しておくのがいいと思います。
というわけで、簡単にまとめてみました。私はセキュリティの専門家ではありませんので、もしかすると抜けている点などもあるかもしれませんが、その点はご指摘頂ければ。とにかく正しい知識をもって対策をとるように心がけましょう。
- Gumblar (を含むウィルス) 対策をしっかりやる
- Gumblar 感染の有無に関わらず FTP 自体がそもそも危険
- SFTP や FTPS を使用するようにしましょう
- FFFTP にはリスペクトを
[1/31 追記]
SFTP、FTPS が標準 (プランによる制限はあったとしても) で利用できる共有レンタルサーバを有名どころだけ簡単にですが調べてみました。
まず、SFTP が標準で利用可能なところだと、
FTPS が標準で利用可能なところだと、
これ以外にも標準で利用可能なサーバ会社さんやオプション契約すれば SFTP or FTPS を利用できるようになるサーバ会社さん、さらにセキュアなファイルマネージャー機能が提供されているサーバ会社さんもたくさんあるとは思いますが、全部挙げていたらキリがないので。
ひとつ言えるのは、ファイル転送には FTP しか使えませんなんてサーバは今の時代ちょっとあれですので避けた方がいいってことです。特に仕事でサーバを選ぶときとかは値段だけじゃなくてそういうところもちゃんと調べましょうね。