このサイトは管理者okudenのWeb制作、Webサービス、パソコンに関する防備録です。

FTPのセキュリティ対策

ウェブサイトの更新には一般的にFTPが利用されますが、実はFTPのセキュリティは十分に安全ではないことをご存知でしょうか? また、2009年頃に流行した「ガンブラー」と呼ばれる攻撃手法をご記憶でしょうか? マルウェアをコンピューターに感染させ、FTPアカウントを乗っ取りサイトを改ざんしたりして、世界中で流行しメディアでも取り上げられましたが、その際に狙われたのはFTPです。FTPは古くからあるプロトコルですが、通信経路が暗号化されていないためアカウント情報や通信内容が簡単に盗まれてしまう可能性があるという事を以前から指摘されていました。

ではより安全にFTP通信を行うには、どのような対策をすれば良いのでしょうか?
今回はFTPのセキュリティ対策について以下の4つの点をご紹介していきます。

  • 1.FTPの暗号化
    • FTPSとSFTP
    • FilezillaのFTPS設定
    • FFFTPのFTPS設定
  • 2.FTP接続するIPアドレスの制限
  • 3.複雑なパスワードを利用する
  • 4.FTPを使うパソコンのセキュリティ対策
  • 5.最後に

1.FTPの暗号化

FTPS

  • File Transfer Protocol over SSL/TLSの略
  • SSL/TLSによる暗号化・認証化
  • SSL証明書を利用して接続が行われる為、安全にファイルの転送を行なうことができます。

SFTP

  • SSH File Transfer Protocolの略
  • SSHによる暗号化・認証化
  • SSHの仕組みを利用して接続が行われる為、安全にファイルの転送を行なうことができます。

SFTPを利用する場合は、サーバーがSSHに対応している必要があります。(現在、多くの共用サーバーがSFTP(SSH)に対応しています)
またSSH接続の為の「鍵認証」を設置したりする作業が結構面倒なので、私はあまり使っていませんが、より高度なセキュリティを求める方はSFTPをお使いください。

※現在エックスサーバー、CPI、さくらのレンタルサーバーでSFTPの利用が可能です。

FTPSの設定

FTPSの設定は簡単です。既存のFTPソフトの設定を一部変更するだけです。

FilezillaのFTPS設定

1.Filezillaの左上の「ファイル」から、サイトマネージャーをクリックします。

2.該当するサイトを選択し、暗号化のところで__「明示的な FTP over TLSが必要」__を選択します。

FFFTPのFTPS設定

1.FFFTPの左上の「接続」から、「ホストの設定」をクリックします。

2.該当するサイトを選択し、「設定変更」をクリックします。

3.暗号化のところで「FTPS(Explicit)で接続」を選択します。

ただ長年親しまれてきたFFFTPですが、そろそろ開発が終了しそうです。

開発終了→オープンソース化で生き長らえたFTPソフト「FFFTP」、今度こそ終了か?【やじうまWatch】 ? INTERNET Watch

またFFFTPはSFTPに対応していないので、より高度なセキュリティを求める場合に適していません。 セキュリティを重視するなら、FFFTPを使うのを止めてFilezillやWinSCPなどの高機能なFTPソフトを使うのが賢明です。

追記: 2018年4月5日 なんとFFFTPの最新バージョンが発表されました。
引き継ぎ先不在だったFTPソフト「FFFTP」、開発者が交代し最新バージョンの3.0をリリース

SFTPの設定

SFTPを利用する場合はSSH接続の設定が必要です。
SSH接続は利用しているサーバーごとに設定が異なりますので、ご利用のサーバーの設定をご確認ください。

2.FTP接続するIPアドレスの制限

固定IPアドレスの取得

固定IPアドレスはプロバイダを通じて取得できます。
web制作に関わる会社や、サイトを運営している会社では一般的に利用されています。

個人で固定IPアドレスを取得する場合、利用しているプロバイダーにもよりますが、結構費用がかかります。 利用する際にパソコンのIPアドレスを調べて入力すれば利用できなくはないのですが、毎回入力する必要があると考えると、かなりの負担になるため、あまりおすすめできません。

IPアドレスの指定方法

.ftpaccessを使用してIPアドレスの指定を行うこともできますが、レンタルサーバーのコントロールパネルからFTP制限の設定を行う方が簡単で、設定ミスが少なくなります。

3.FTPパスワードの複雑化

FTPサーバーを狙ったブルートフォースアタック(総当たり攻撃)を受けた際、簡単なパスワードでは解読されてしまう可能性があります。英数大文字小文字を含む8文字以上の複雑なパスワードを設定しておくことをお勧めします。

4.パソコンのセキュリティ対策

  • OSのアップデート、ウイルス対策ソフトをアップデートする
  • 不審なメールのURLや添付ファイルを開かない
  • FTPを利用するパソコンを限定する

最後に

FTPのセキュリティ対策として、上記の全てを実施しなければならないわけではありませんが、可能な範囲で対策を行うことが望ましいです。またFTPをなるべく使わないというのも1つの方法で、サイトの更新はなるべくCMSなどのツールで行うのも検討してみてはいかがでしょうか。