重要・社外秘データを公開？危険な状態の「匿名FTPサーバ」に注意

IT・デジタルセキュリティ

注目記事

2016.5.16（月）14:17

　企業・研究機関などがファイルやりとり・一時保管などのために開設しているものに、「匿名FTPサーバ（anonymous FTPサーバ）」がある。アクセスIDとして「anonymous」（アノニマス、「匿名」の意味）と入力することから、こう呼ばれているが、その手軽さから多用されている。

　一方、「匿名FTPサーバ」は、パスワード認証がなく、誰でもアクセス可能な状態のため、まったく無関係な外部ユーザーがアクセスしても、不正アクセス行為に当たらないと考えられるという。こうした、便利さの反面の危うさを認識せず、重要情報・社外秘情報が公開されていることは、十分にありえる。

　実際に、セキュリティ企業のラックでは、匿名FTPサーバの検索サイトには、日本国内の約3400のFTPサーバがインデックスされているが、取引先情報や社員の個人情報などが意図せず公開されているとみられるケースを複数確認したとして、注意を呼びかけている。

　それらの大部分は、公開しても差し支えないとみられるものだったが、営業秘密に該当し得る「請求書」「見積書」、「年賀状送り先一覧」、「従業員名簿」、「メールのバックアップ」といった個人情報も含まれていた。多くは中小企業が設置しているサーバだとのこと。これらは、初期に開設したまま放置されているケース、適切な管理者を置いていないケース、適切な引き継ぎがされなかったケースなどが考えられる。

　そのためラックでは、明らかに問題がある情報を公開していたサーバについて、JPCERT/CCに対し、「インシデントの報告」を行ったとしている。また利用者、特に経営トップに向け、適切なアクセス管理を行うよう呼びかけている。

《赤坂薫》