NW屋的日常徒然日記

ネットワークを専門にする元社内SEの日常とITネタ諸々を綴って行きます。

ラックが公開したセキュリティ調査報告書を読んでみる(1) 〜FTPサーバ不正ログイン〜

 こんばんは。JTBの情報漏洩事件を受けて、自分なりにセキュリティ関係の情報を追ってみているのですが、今回ラックが2016年1〜3月のセキュリティインシデントに関するレポートと、2015年度のセキュリティインシデントに関する傾向に関して言及しています。これはラックのwebサイトで公開されてまして、こちらからダウンロードすることが可能です。御興味・御関心のある方は御一読されることをおすすめいたします。

 全部読み切れていませんので、何回かに分けて書いてみる予定です。今回はFTPサーバの不正ログインに関して言及します。

 今回のレポートの内容とは直接関係しませんが、FTP関連ということで。少し前にanonymousFTPサーバが知らない間に公開されていて、社内の重要な情報がダダ漏れ状態になっていたようなケースが報道されていたような記憶があります。そもそもFWでFTPのポートが外部に対して開いてるというのもどうかと思います。その上、当該サーバの管理がまともに出来てないということでもありますよね。「基本的に使わないサービスは停止しておく」という当たり前のことが出来てなかったということでもあります。

 この点を踏まえてレポートを読みました。「ftpchk3.php」というファイルのアップロードを試みることが共通しているそうです。このファイルによって、FTPサーバの各種情報を取得しようとするようです。これが置かれてしまう時点で不正ログインされてしまっていることになります。外部に対してFTPのポートを開けているということは、webページのメンテナンスを外部の業者に依頼しているケースで、両者共セキュリティ面を考慮せず、単に「ファイルを自社からアップロードするため」ということで依頼元にFWとサーバのFTPポートを開けさせていると推測します。だとしたら、あまりにも杜撰過ぎます。(そこまで酷いケースはないと信じたいのですが)

 このレポートに戻ります。パスワードに関してですが、辞書攻撃ではなく、リスト型アカウントハッキングの可能性が高いのだそうです。ですので、複数のサービスでパスワードの使い回しはしないようにとのことでした。(お約束ですね)

 このレポートにはアクセス可能なIPアドレス範囲の限定や、アカウントロック対応や、そもそもanonymousログインを許可する必要がなければ無効にしておくようにとのことでした。

 やはり、FTPポートは閉じる方向でないと拙いでしょうし、リモートからのファイルアップロードが必要な場合はVPN張るなり、事情が許せばIP-VPNでの閉域接続とかにしたいところですよね。

 依頼する側依頼される側共にセキュリティ意識は高く持っておきたいところですよね。