ラックは2016年5月13日、誰でもアクセスできる「匿名FTPサーバー」のいくつかが意図しないままに重要情報を公開しているとの注意喚起を公表した。「匿名FTPサーバーとは何だ」「当社は大丈夫か」といった質問から、実は古くからある問題でもあり「なぜいまさら」といった反応もあった。ここでは本件の注意喚起の意図を踏まえ、改めて内容を解説したい。読者が必要な対策を再考するきっかけとなれば幸いである。

「匿名FTPサーバー」の危険性

 匿名FTPサーバーとは、パスワードなどの認証を必要とせず、誰でもアクセスできるように設定してあるFTPサーバーを指す。不特定多数に公開するデータを配布する場合、匿名FTPサーバーを使う点に何ら問題はない。実際に世の中の大半の匿名FTPサーバーは意図して情報を公開している。

 だが、当社の観測によれば、意図せずにプライベートな情報や営業秘密に該当し得る情報を公開しているケースが一定数存在する。「悪意ある者に見つからなければ問題ないだろう」。その考えは間違いではないが、匿名FTPサーバーがどんな情報を公開しているかを検索するWebサービスが複数存在している。特殊な知識や専門的な技術がなくても、意図しない情報公開を容易に見つけられるのが現状だ。

重要情報を公開している「匿名FTPサーバー」のイメージ
重要情報を公開している「匿名FTPサーバー」のイメージ
[画像のクリックで拡大表示]

 過去にも、Webカメラや複合機などインターネットに接続する機器が第三者から「丸見え」状態である事実が何度も報じられた。ニュースを覚えている方も多いだろう。公開状態のWebカメラや複合機も、本件と同様に検索サイトを使えば容易に見つけられる。

 注意が必要なのは、匿名FTPサーバーが公開する情報で迷惑や被害を被るのが、公開した企業以外にも及ぶ可能性が高い点である。意図せず公開されている情報の中には、メールのバックアップや見積書と思われる情報が多数見つかっている。取得した第三者が内容を悪用しない保証はない。