Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。

国内に多数のアノニマスFTP - うっかり情報公開に注意を

意図せずアノニマスFTPサーバ(匿名FTPサーバ)を設置し、外部より組織の内部情報へアクセスできる状態となっているケースを多数確認しているとして、ラックが注意を呼びかけた。業務情報や個人情報が含まれるケースも見られたという。

同社がインターネット上のサイバー攻撃や不正ソフトを調査している過程で確認したもの。国内の約3400の組織または個人において、ファイルをやり取りするためのFTPサーバにおいて、一部にアクセス権限の設定不備があり、パスワードの入力なしにファイルへアクセスできる状態だった。

いずれも個人や中小企業が運営しているもので、大企業のものはなかったという。多くは公開しても問題が生じないとみられる情報だが、なかには請求書や見積書などや、年賀状の送り先リスト、従業員名簿、メールのバックアップなどが含まれていた。

情報漏洩による賠償責任のほか、内部情報が標的型攻撃に悪用される可能性がある。またマルウェアや違法コピーした著作物などなどをアップロードされ、攻撃の踏み台に使われる可能性もあると同社は危険性を指摘している。

こうしたサーバは、一般従業員が利用するパソコンやNAS、クラウドなど、情報システム部門が把握していないケースもあるため、不要なFTPサーバが稼働していないか、意図せず匿名状態になっていないか、チェックするよう注意喚起を行っている。

(Security NEXT - 2016/05/13 ) このエントリーをはてなブックマークに追加

関連リンク

PR

関連記事

Siemensの「Nucleus RTOS」に13件の脆弱性が判明
インフォサイエンスの複数ログ管理製品に脆弱性 - OSコマンド実行のおそれ
Dell製シンクライアントOSに深刻なRCE脆弱性 - 更新や運用環境の確認を
ZyXELのNAS製品にゼロデイ脆弱性 - 悪用コードが闇市場に
2019年の不正アクセス届出は89件 - 56件で被害
オムロン製「PLC」に複数の脆弱性
三菱製シーケンサのCPUユニットにDoS脆弱性
家庭用IoT機器の7%が「telnet」や「FTP」など使用 - ルータは15%
三菱電機の制御機器向けネットワークインタフェースにDoS脆弱性
「GNU Wget」に任意のコードを実行される脆弱性