ニュース

10年経っても根絶されず──匿名FTPサーバーで請求書や従業員名簿を公開していないか、改めて確認を

 株式会社ラックは13日、ID・パスワード不要で誰もがログインできる匿名FTPサーバー上で、取引先一覧などの重要情報が公開されている例が複数確認されたと発表した。権限設定のミス、サーバーの放置などが原因とみられ、ネットワーク管理者に改めて注意を呼び掛けている。

匿名FTPサーバーで内部情報を公開してしまっている例(イメージ)

 今回ラックが確認したのは、ファイル保管用のFTPサーバーの中でも、パスワード入力せずにアクセスできる匿名FTPサーバーによる事例。インターネット利用者であれば事実上、誰でもファイルをダウンロードできてしまうため、個人情報・社内情報などを保存する場所としては適さない。

 ラックによると、約3400の国内組織ないし個人の情報が公開状態となっていた。その大部分は公開しても差し支えない情報だったが、請求書や見積書、年賀状送り先一覧、従業員名簿、メールのバックアップといった情報が含まれるケースもあったという。なお、管理が不十分な匿名FTPサーバーを公開していたのは、個人以外では中小企業がほとんどで、大企業や政府系機関では確認できなかったとしている。

 ラックでは2006年にもFTPサーバーに関する注意喚起を行っている。IDとパスワードが同一の文字列になっているなどの問題が当時からあり、10年経った2016年もこの状況は根絶されておらず、「古くて新しいテーマ」とラックは指摘している。

 意図しない情報公開の原因は、アクセス権限の設定不備。加えて、誰も利用していないFTPサーバーは停止させるといった対処なども必要となってくる。

 このほか、会社側が管理しているつもりでも、社員が勝手にPCやNAS上で匿名FTPサーバーを動作させているケースも考えられる。この場合は、ファイアウォールで社内からインターネット側への通信を制限する措置も有効だとしている。

(森田 秀一)