ラック、匿名FTPサーバからの意図しない個人情報公開のケースに注意喚起

  • 元記事:匿名FTPサーバで重要情報が公開されていることへの注意喚起
  • HP:ラック
  • 発表日時 2016/5/13

    匿名FTPサーバから、意図せずに社内の内部情報や取引情報、社員個人情報などが公開され閲覧可能状態になっているケースが複数確認され、企業にてサーバが公開された状態になっていないか確認するようラックが注意を呼び掛けている。
    閲覧可能状態となっているのは匿名FTPサーバで、ファイルのやり取りにFTPサーバが使用されるが、パスワード設定がされていないことにより情報が公開され外部から閲覧可能だった企業が国内で約3,400組織確認された。匿名FTPサーバを使用しているのは個人や中小企業が大部分で、大企業や政府系機関では目的外情報の公開は確認されなかった。公開された情報の多くは閲覧されても問題ない情報であったが、請求書や見積書、従業員名簿など個人情報も確認された。
    意図せずに情報が公開される要因として、不特定多数に公開されているサーバである認識がなかったり、過去に使用したFTPサーバの放置、社員が自宅作業のために個人でFTPサーバを設置しているなどアクセス権限の設定不備がある。内部情報が公開されていることにより標的型攻撃に悪用されたり、ファイル書き込みが可能な場合にはコンピュータウィルスや違法動画のファイル置き場などに利用される恐れもある。情報漏えいを防ぐためにもFTPサーバの設置や運用状況を確認し、情報が外部からアクセスできる状態になっていないか、書き込み可能な状態になっていないかを確認するよう注意を呼び掛けている。