見出し画像

そこにある匿名FTPサーバ

00One, Inc.

こんにちは。ゼロゼロワンの萩原です。
皆様、匿名(anonymous)FTPサーバというものはご存じでしょうか?サーバのログインの際にIDとパスワードを不要とするもので匿名FTPサーバとも言われます。

画像1

FTPはファイルの共有(アップロード/ダウンロード)を効率的に行うための仕組みであり、FTPサーバはFTP機能を備えるサーバです。セキュリティが重要視されている昨今では認証情報、そして通信内容が暗号化されていないため利用が好ましくないですが未だに多く利用されています。もし業務でFTPを使用されている場合は、SFTPやSSHに移行されることを推奨します。

話をFTPサーバの話に戻します。FTPサーバは通常21番ポートで動作しているので、日本のグローバルIPアドレスのうち、21番ポートが空いているものを検索すればおよそ何件あるかというのを把握が可能です。

画像3

10,000件以上見つかりましたね…。良いですか、業務でFTPを使用されている場合はSFTPやSSHに移行しましょう…。

Karmaでは検索結果が10,000件以上ある場合はそこから闇雲に探すのではなく絞り込みをすることを推奨しているためそれ以上の検索結果を返すことはありませんが統計データからおよその実数を把握することができます。

画像4

ポート21番が空いているISPのトップ10のうちトップ5だけを抜粋しましたがなかなかの量ですね…。良いですか、業務でFTPを使用されている場合はSFTPやSSHに移行しましょう…。

匿名FTPサーバの見つけ方

FTPサーバが大量にあることは分かりましたが、匿名FTPサーバはどれくらいあるのでしょうか?匿名FTPサーバも21番ポートで動いていることに変わりはないので検索クエリに条件を追加していってみましょう。真っ先に思いつくのはanonymousです。

画像5

検索結果が多く見受けられますが、サーバからのレスポンスであるバナー情報を見るとno anonymous loginと書かれており、anonymousではアクセスできていないことが想定されます。逆にlogin successという様な文言を探せば良いのではないかと考えられますね。

画像8

検索結果をスクロールしているとanonymous access grantedという文言を見つけられました。これは文字通り、anonymous(匿名)でのアクセスが許可されているという文言で定型句なのではないかと想像できます。実際にその定型句で検索してみましょう。

画像7

こちらは結局6,000件以上見つかりましたね…。2016年にLACさんから3,400件以上見つかったという注意喚起がされましたがその数を優に超えています。

どの様な情報が見つかるか

まず、大前提として匿名FTPサーバにアクセスすることは不正アクセス禁止法に抵触するのか、という問題があります。これについて、管理者が一意の識別符号を定めておらず、利用者を認証することなく誰でもアクセスすることができるため不正アクセスに当たらない、というのが弊社の見解です。

とある時点で観測できた匿名のFTPサーバでは企業の内部情報と容易に想像できるデータが確認できました(調査の過程において個人情報と思わしきデータにはアクセスをすることはなく、またデータの保存はしておりません)。

画像2

なぜこんなに多くの匿名FTPサーバがあるのか

匿名FTPサーバに関する注意喚起は定期的にセキュリティベンダーから発せられているように思えますがなぜこんなにも多くの匿名FTPサーバが現在もあるのでしょうか?実際匿名FTPサーバのバナー情報を見ていると特定の製品名が確認できました…がここでは伏せておきます。

画像8

こちらは有名なNAS(Network Attached Storage:ネットワークに接続するタイプのファイルサーバ)であり、調べてみたところFTPサーバ機能が組み込まれていました。初期状態で匿名FTPサーバ機能が有効かどうかまでは調べておりませんが、初期状態で有効ではなくとも難しい設定をせずにそのまま使いたいという声が上がったのかもしれないことも想像できます。しかし、簡単に機能を使えてしまう対象に意図している利用者だけではなく第三者も含まれてしまうことは大問題です。

まずは設定の見直しを

FTPサーバがanonymous(匿名)によるアクセスを許可しているかをまず確認しましょう。また、FTPサーバを意図せずとも使ってしまっている場合もありますのでNASやファイルサーバにFTPサーバの機能が組み込まれていないかを確認することも大事です。

今回はKarmaを使用して匿名FTPサーバの有無を確認しております。指定のIPアドレスの帯域において匿名FTPサーバが存在しないか、という確認の仕方も可能ですので、もしFTPサーバがあるかどうかも分からない…という時には闇雲にマニュアルを読み込んだりするよりも検索してしまうのも手です。

意図せずして重要な情報を匿名FTPサーバで共有してしまったことによる情報漏洩の事故は後を絶ちません。そしてとある時点においては問題がなかったからといって未来においても同様か…ということも分かりません。

その様な不安もKarmaで定期的に検索することで拭えれば幸いです。

Karmaにご興味をお持ちいただけた方は、トライアル版がありますので
Karma|00One, Inc.
から是非ご連絡ください!

#IoT #セキュリティ #Karma #IoT検索エンジン #OSINT