FTP アカウント 盗用 で ウェブ改竄
FTP アカウントの盗用でウェブ改竄の被害が
急増しているようです。
不正に取得した FTP アカウント情報を悪用して、
正規ユーザになりすました不正なプログラムを
埋め込んだウェブページをサーバーにアップし、
そのウェブページの閲覧者をウイルスが仕込まれた
ウェブページ誘導する、というモノらしいです。
こういうニュースを聞いて、見て、
まずやることは、ウイルスチェックですが、
そもそも考えなくてはいけないのは、
FTP というのは、
セキリュティーを保証したサービスではなりません。
通信路中はその内容を暗号化しません。
つまり、アスキー に変換された文字列
FTP で使用する ユーザID や パスワード は、
単純に ASCII に変換されて通信路に流れます。
もちろん、本来ファイル転送したいファイルの情報も
FTPでは、暗号化されません。
ということは、
通信路を見ることができれば、
いいかえれば、覗くことができれば、
FTP で使用する、ユーザーIDとかパスワードは丸見えです。
もちろんサーバーの IPアドレス情報も、
転送するファイルの中身も丸見えです。
じゃあ、
どうやって通信路を見ることができるか?
というと、じつは簡単。
tcpdump
snoop
emon
sniffer
イーサーリアル
などのアプリケーションを使用すれば簡単に見れます。
入手も簡単、インターネットに公開されているものもあります。
もちろん使い方も!ほとんどがフリーソフトです。
サーバー管理者の人、ネットワークプログラマの人、
IPネットワーク機器を設計する人、ネットワークに詳しい人は、
普通に知っているごくごく普通の、通信路中のデータを
見るための使用するアプリケーションです。
主にデバッグ用ですね。
一般的に、FTP を使うということは、情報漏洩する、
と考えた方がいいです。
私は、FTP で情報漏洩しても完全に自己責任だと思います。
FTP で通信しているといことは、情報公開している、
と同じ意味です。
例えば、わかりやすく言うと、
街のど真ん中で女性が着替をしているとします。
普通こんな人いませんが。。。
その横を歩いている普通の男性であれば、その女性の事が気になります、
というか着替の様子が「見えてしまいます」。
で、男性が見ている事に気づいた女性は、「見ないで」といいいます。
というような事です。
思いっきり公開しているのに、見るな?
というのは、おかしいですよね。
では、
このような通信路を流れるアカウントの情報の流出を
止めるにはどうすればよいか?ということですが、
単純に暗号化された通信路を使用する。
これにつきます。
例えば、接続するパソコンからサーバーまで VPN を張る。
VPN の中通信は、VPN 外からは暗号化されているので、
FTP や telnet といった暗号化されないプロトコルの通信が
安心して行えます。
※ VPN : Virtual Private Network の略
とはいっても、企業でもない限り VPN を使用しないと思います。
個人では、レンタルサーバーなど使用していることも多いので、
VPN を張ることは、なかなか出来ないです。
その場合、SSH を使うという手段があります。
SSH とは、Secure SHell の略称です。
通信路も暗号化されるので、サーバーへの接続のために
使われる、ユーザID や パスワードも暗号化されので安心です。
SSH に対応していないレンタルサーバー会社が多いのも
問題の1つです。
SSHクライアントですが、
Linux や BSD や Mac といった、普通のパソコン OS であれば、
SSHクライアント はデフォルトでインストールされているのですが、
Windows OS はインストールされていません。
( windows vista までは確認していますが、
Windows 7 は持ってないんで確認できていません。)
Windows OS 用には、
WinSCP というアプリケーションがあります。
http://winscp.net/eng/docs/lang:jp
SSH 特有のパラメータの設定もありますが、
使い勝手はよくある FTPクライアント、
たとえば、FFFTP とほぼ一緒です。
サーバーが SSH に対応しているのであれば、
パソコンにも SSHクライアント をインストールして、
SSHで通信するべきですね。
というか、
SSH を使用しなければなりません。
インターネットを使用酢る人の義務ですよね。
SSH を使用しない理由はないはずですから。
関連URL
http://japan.cnet.com/news/sec/story/0,2000056024,20406606,00.htm
タグ: セキュリティ