現在、約600万台のインターネットアクセス可能なシステムがFTPを使用しており、そのうち半分は暗号化を使用していないことが、Censysの最新レポートで示されています。
50年以上にわたって使用されているFTPは、クライアント・サーバーモデルアーキテクチャを使用して、コンピューター間のファイルとフォルダの転送を促進しています。
しかし、最新のプロトコルとは異なり、FTPはデータを暗号化されていない状態で送信し、長年にわたって安全でないと判断されてきました。その継続的な使用は、企業とエンドユーザーの両方を回避可能なリスクにさらしています。
インターネット公開FTPサービスを実行しているホストの数は、2024年以降40%減少しており(1,010万台から594万台)、しかしプロトコルは依然としてすべてのインターネット可視システムの2.72%を占めており、Censysは述べています。
また、観測されたFTPサービスの245万台には暗号化の証拠がないことも懸念されます。TLSハンドシェイクが観測されていないため、これらのサーバーは暗号化サポートがない、アップグレードされていない、またはCensysのスキャン中にハンドシェイクが完了していない可能性があります。
「これは245万台すべてがファイルと認証情報をクリアテキストで送信することを保証するものではありませんが、暗号化の証拠がない集団です。」と、インターネットインテリジェンスプロバイダーは指摘しています。
FTP公開ホストのほとんどは米国にあります(120万台)。中国(86万6千台)、ドイツ(46万7千台)、香港(41万5千台)、日本(36万6千台)、フランス(34万3千台)も、かなりの数のそのようなシステムを保有しています。
世界的に大規模なホスティングおよびブロードバンドプロバイダーの一部が最も多くのFTPホストを占めており、チャイナユニコムのCHINA169(40万5千台)、Alibaba(22万7千台)、OVH(17万7千台)、Hetzner(13万8千台)、KDDI Web Communications(12万7千台)、GoDaddy(12万6千台)が含まれます。
FTPホストのCensysの分析により、Pure-FTPdが最も一般的に実行されているサーバーであることが明らかになり、約199万サービスを占めています。これに続くのはProFTPDで81万2千サービス、vsftpd(ほとんどのLinuxディストリビューションの標準FTPデーモン)で37万9千サービスです。
マイクロソフトのレガシーウェブおよびFTPサーバープラットフォームであるIIS(インターネットインフォメーションサービス)は25万9千サービスを占めています。FTPロールが有効になっているすべてのWindowsサーバーインスタンスはデフォルトでIIS FTPを実行し、これらのサービスの15万台以上は暗号化をセットアップしたことがないと、Censysは述べています。
実際のところ、暗号化に欠ける245万台のFTPホストのうち、99万4千サービスはスキャンされたポートでAUTH TLSを実装していません。81万3千は暗号化チャネルを確立する前にパスワードを要求し、17万台以上は明示的なTLSサポートがありません。
「このデータセットの地理的分布、ASN分布、およびサーバーテクノロジー混合は、ほとんどのインターネット公開FTP構成が商用ホスティングおよびブロードバンドデフォルトの副産物であるという結論を指しており、」Censysは指摘しています。
組織は、FTPを環境から完全に削除するか、SFTP(SSHファイル転送プロトコル)やFTPSなどのより安全な代替手段に移行することが推奨されます。これらは暗号化されたファイル転送機能を提供し、広いクライアント互換性を備えています。
「ほとんどのユースケースでは、FTPを大幅な支障なく置き換えることができます。FTPが残る必要がある場合、明示的なTLSを有効にすることはプロトコルアップグレードではなく構成変更であり、Pure-FTPdとvsftpdの両方がネイティブでサポートしています。」と、Censysは指摘しています。
翻訳元: https://www.securityweek.com/half-of-the-6-million-internet-facing-ftp-servers-lack-encryption/
