インターネット情報企業Censysの新しいセキュリティ概要では、55年前のファイル転送プロトコルが依然としてインターネット上の約600万台のホストで稼働していることが明らかになりました。
2026年4月の時点で、FTP露出の主要な問題は、目的別に構築されたファイル転送インフラストラクチャではなく、プラットフォームのデフォルト設定の危険な蓄積です。
Censysの研究者は、世界中で約600万台の公開サーバが依然としてレガシーFTPプロトコルを実行していると報告しています。
FTP露出の現在の状態
過去2年間で露出されたFTPホストの総数は40%減少し、2024年の1010万台から現在の約594万台に減少しましたが、残りの足跡は依然として膨大です。
これらのレガシーサーバは主に共有ホスティングネットワークとブロードバンドプロバイダーに集中しています。米国は世界的にリードしており、120万台以上の可視ホストを持っています。中国、ドイツ、香港、日本がそれに続き、世界全体の半分以上を占めています。
暗号化実装の分析は、グローバルサーバセキュリティとエンタープライズ保護の複雑な現実を示しています。
- FTPホストの約58.9%がTLSハンドシェイクを正常に完了し、そのうち97%が最新のTLSv1.2またはTLSv1.3プロトコルを使用しています。
- スキャン中にTLS暗号化の証拠を示さなかったホストは約245万台で、認証情報とファイルを平文で送信する脆弱性にさらされています。
- 中国本土と韓国は最も低いTLS採用率を報告しており、主に住宅用とレガシーホスティング設定に駆動されています。
- 日本は、依然として非推奨のレガシーTLSバージョンを実行しているすべてのFTPサーバの71%をホストしています。
技術的なリスクを理解するには、プロトコル間の違いを知ることが重要です。標準FTPはすべてを平文で送信します。
FTPSは標準FTPにTLS暗号化を追加し、レガシーシステムの妥当な中間ステップを提供します。SFTPは名前の類似性にもかかわらず、SSHに基づく完全に異なるプロトコルです。
専門家はSFTPを普遍的に推奨します。これは複雑なファイアウォールルールを必要とせずにすべてのデータと認証情報を暗号化するためです。最後に、TFTPは認証が完全に欠落している簡略化されたプロトコルであり、公開インターネットに直面してはいけません。
デフォルト構成と技術的リスク
Censysの研究は、デーモンのデフォルトがこのリスクの多くを決定することを強調しています。Pure-FTPdは最も一般的なソフトウェアであり、主にcPanelのデフォルトデプロイメントが原因です。
一方、vsftpdは依然として普及しており、研究者は2011年の悪名高いバックドアvsftpd 2.3.4バージョンを実行している1,744台のインターネット向けホストを発見しました。
最も重要な調査結果の1つは、Microsoft IIS FTPデプロイメントに関するものです。150,000台以上のIIS FTPサービスが534レスポンスコードを返しています。
これは、IIS制御ポリシーがデフォルトでSSLを必須としますが、新規インストール時にサーバー証明書ハッシュが空になっているために発生します。バインドされた証明書がない場合、TLSはネゴシエーションできません。
管理者は暗号化を要求するようにポリシーが設定されているのを見て、安全だと誤って信じるかもしれませんが、サーバーは静かに平文の認証情報を受け入れます。
Censysの研究者は、組織にファイル転送インフラストラクチャの再考を促します。主要な緩和戦略には、以下のステップが含まれます。
翻訳元: https://gbhackers.com/censys-warns-6-million-public-facing-ftp-server-exposed/
