FTPのセキュリティ対策

ウェブサイトを更新するのに定番のFTPですが、FTPのセキュリティって安全じゃないってご存知でしょうか? 2009年頃に流行したガンブラーと呼ばれる攻撃手法があったのを覚えているでしょうか? マルウェアをコンピューターに感染させ、FTPアカウントを乗っ取りサイトを改ざんしたりして、世界中で流行しメディアでも取り上げられましたが、その際に狙われたのはFTPです。FTP古くからあるプロトコルですが、通信経路が暗号化されていないためアカウント情報や通信内容が簡単に盗まれてしまう可能性があるという事を以前から指摘されていました。

ではより安全にFTP通信を行うには、どのような対策をすればいいのでしょうか?
今回はFTPのセキュリティ対策について以下の4つの点をご紹介していきます。

  • 1.FTPの暗号化
    • FTPSとSFTP
    • FilezillaのFTPS設定
    • FFFTPのFTPS設定
  • 2.FTP接続するIPアドレスの制限
  • 3.複雑なパスワードを利用する
  • 4.FTPを使うパソコンのセキュリティ対策
  • 5.最後に

1.FTPの暗号化

FTPS

  • File Transfer Protocol over SSL/TLSの略
  • SSL/TLSによる暗号化・認証化
  • SSL証明書を利用して接続が行われる為、安全にファイルの転送を行なうことができます。

SFTP

  • SSH File Transfer Protocolの略
  • SSHによる暗号化・認証化
  • SSHの仕組みを利用して接続が行われる為、安全にファイルの転送を行なうことができます。

SFTPを利用する場合は、サーバーがSSHに対応している必要がありますが、共用サーバーでは対応しているところが少ないです。またSSH接続の為の「鍵認証」を設置したりする作業が結構面倒なので、私はあまり使っていませんが、より高度なセキュリティを求める方はSFTPをお使いください。

※現在エックスサーバー、CPI、さくらのレンタルサーバーでSFTPの利用が可能です。

FTPSの設定

FTPSの設定は簡単です。既存のFTPソフトの設定を一部変更するだけです。

FilezillaのFTPS設定

1.Filezillaの左上のファイルより、サイトマネージャーをクリックします。

2.該当するサイトを選択し、暗号化のところで「明示的な FTP over TLSが必要」を選択します。

FFFTPのFTPS設定

1.FFFTPの左上の「接続」より、「ホストの設定」をクリックします。

2.該当するサイトを選択し、「設定変更」をクリックします。

3.暗号化のところで「FTPS(Explicit)で接続」を選択します。

ただ長年親しまれてきたFFFTPですが、そろそろ開発が終了しそうです。

開発終了→オープンソース化で生き長らえたFTPソフト「FFFTP」、今度こそ終了か?【やじうまWatch】 ? INTERNET Watch

またFFFTPはSFTPに対応していないので、より高度なセキュリティを求める場合に適していません。 セキュリティを重視するなら、FFFTPを使うのを止めてFilezillやWinSCPなどの高機能なFTPソフトを使うのが賢明です。

追記: 2018年4月5日 なんとFFFTPの最新バージョンが発表されました。
引き継ぎ先不在だったFTPソフト「FFFTP」、開発者が交代し最新バージョンの3.0をリリース

SFTPの設定

SFTPを利用する場合はSSH接続の設定が必要です。
SSH接続は利用しているサーバーごとに設定が異なりますので、ご利用のサーバーの設定をご確認ください。

2.FTP接続するIPアドレスの制限

固定IPアドレスの取得

固定IPアドレスはプロバイダを通じて取得できます。
web制作に関わる会社、サイトを運営している会社では一般的に利用されいます。

個人で固定IPアドレスを取得する場合、利用しているプロバイダーにもよりますが、結構費用がかかります。利用する際にパソコンのIPアドレスを調べて入力すると利用できなくは無いんですが、毎回入力する必要があるかと思うと結構負担になるのであまりおすすめできません。

IPアドレスの指定方法

.ftpaccessを使用してIPアドレスの指定を行えますが、レンタルサーバーのコントロールパネルからFTP制限の設定ができます。こちらの方が簡単で設定ミスが少なくなります。

3.FTPパスワードの複雑化

FTPサーバーを狙ったブルートフォースアタック(総当たり攻撃)を受けた際に、安易なパスワードだと解読されてしまう可能性があります。英数大文字小文字を含む8文字以上の複雑なパスワードを設定しておくことをお勧めします。

4.パソコンのセキュリティ対策

  • OSのアップデート、ウイルス対策ソフトをアップデートする
  • 不審なメールのURLや添付ファイルを開かない
  • FTPを利用するパソコンを限定する

最後に

FTPのセキュリティ対策として上記の全てを対策しなければならないという訳ではないんですが、出来る範囲で対策を行うことが望ましいです。またFTPをなるべく使わないというのも1つの方法で、サイトの更新はなるべくCMSなどのツールで行うのも検討してみてはいかがでしょうか。

前の記事 次の記事