FBI から医療業界に警告：FTP サーバーに注意

先月、FBI は、医療機関に FTP サーバーの安全性に関する PIN（Private Industry Notification）警告を出しました。この警告には特定の脅威は示されていませんが、専門家は、FBI は正当な理由がなければ警告は出さない、と指摘しています。

サイバー犯罪者にとって医療機関は恰好の標的

保護される健康情報（PHI）は、ブラックマーケットではクレジットカードのデータよりも価値があるようになりました。つまり、医療機関は銀行や商店などより収益性の高い恰好の標的になるということです。クレジットカードデータの有効期限は、銀行が違反を発見して影響を受けるクレジットカードを凍結するまでです。一方、健康データには、より豊富な情報（保険会社、雇用会社、社会保障、生年月日など）が含まれているため、不正なデータ使用を防止することは非常に困難です。健康データは、保険詐欺、薬物や医療機器の不法購入、身元確認にも使用することができます。

FTP サーバーは容易に侵入可能

FTP サーバーは、ハッカーにとっては手に入れやすい獲物です。小規模な医院や歯科医院では、何年か前の手軽なソフトウェアに処理内容を埋め込んでいるかもしれません。リコーやゼロックスのプリンタに入っているかもしれません。片隅のコーナーやクローゼットに監視する人がいないまま置き去りにされていたのを見つけたという報告もあります。

ミシガン大学が2015年に発表した研究では、1380万の FTP サーバーがインターネットに接続されています。さらに悪いことに、そのうちの110万が匿名（パスワード不要）で、オープンインターネットに6億件のファイルやディレクトリを公開していました。Minxomat と名乗るセキュリティ専門家が2016年9月に、同じ FTP エニュメレータ・コードを使用して調査したところ、75万以上が依然として匿名 FTP サーバーとして公開されていることがわかりました。

セキュアな FTP も攻撃対象

4年ほど前までは、企業のセキュリティは、ほとんどが境界部分とエンドポイントの防御に集中していました。 サイバー犯罪者を信頼できるネットワークの外に置くことができれば安心できるので、「高い壁と深い堀」と形容されることもありました。ですが、サイバー犯罪者の狡知さは形容をあざ笑うかのように軽々と防御を破ります。境界部分の防御に対しては、洗練されたフィッシング攻撃から狙った企業の駐車場にメモリスティックを落とすような簡単なアプローチまで、幅広い手法で攻撃できます。

私たちは現在、企業セキュリティ専門家からの最も賢明なアドバイスが、「すでにハッキングされていると仮定しなさい。」であるような世界に住んでいます。高校生ハッカーたちが、防御を超えて逃げる方法を見つけ出すために2年を辛抱強く費やすサイバー犯罪組織に組み込まれるような、高度な持続的脅威（Advanced Persistent Threats 、APT）の世界に住んでいます。

この新しい世界においては、セキュアな FTP すら安全とは言えなくなってきています。FTPS（SSL / TLS）とSFTP（SSH）は、FTP 経由で送信されるデータの暗号化を提供します。確かに、データは転送中に盗まれることはありません。 しかし、ハッカーがすでにネットワークに接続している場合、どれぐらい時間がかかるかだけの問題で、FTP サーバーにアクセスすることはできてしまいます。

FTP サーバーはサイバー犯罪者にとって金鉱

FTP にファイルをアップロードしたら、削除するまで、多くの場合はプレーンテキストの形で、サーバーに留まります。誰かが貴重なデータをFTPサーバーで送信し、それを削除するための自動化されたプロセスがない場合、FTP クラウドにかなり価値の高いデータが置かれたままになる可能性があります。貴重なデータが入ったデータベースサーバーよりも、FTP サーバーのハッキングの方が容易なことも多いです。

FTP サーバーはまた、出口が大きい乗り物です。 中国や東ヨーロッパの IP アドレスへの FTP 接続を定期的にスキャンして安全性をチェックしていますか？ ターゲット社の内部 FTP サーバーが、サイバー犯罪組織の本部へのコマンドと制御リンクとして使用され、攻撃をアップロードしてクレジットカード情報をダウンロードしたデータ盗難事件は記憶に新しいところです。

複数の技術プラットフォーム上に異なるスクリプト言語を実行する多数の FTP サーバーを使用するのは、よくあるパターンです。セキュリティ面では、これは「複数の攻撃ベクトル」を意味します。また、スクリプトの作成者がいなくなったら、そのファイル転送処理が実際に安全かどうか確かめるのは難しいでしょう。

するべきことは？

データ保護のためにまず確認すべきことは、匿名 FTP を使わないことです。以前は、匿名 FTP も状況に応じて使いたい場合があるので、匿名 FTP を使うときは機密データは送信しないようにすべき、という考え方でしたが、これはもう通じなくなってきています。「状況に応じて使いたい場合」というのが、ユーザーは面倒なパスワードを使いたがらないという事実を指しているなら、論外でしょう。

スクリプト作成からワークフロー自動化への転換を検討してください。スクリプト作成は創造的な仕事で、プログラミングスキルを保つのに役立ちますが、移動があったときに後継者が苦労することになります。ワークフロー自動化ツールは、高度なプログラミングスキルをドラッグアンドドロップのユーザー・インタフェースに置き換えます。 結果として得られるワークフローは、編集や保守が容易です。 MOVEit Automationのようなツールは、インストール時にどのFTPサーバーとも連動するようにできます。

MFT で FTP サーバーを統合することを考えてください。通常の業務プロセスの一部として外部にデータを送信することが含まれていれば、マネージド・ファイル・トランスファー（MFT）への移行を検討するべきです。 重要な中核の業務運営に多種多様な FTP サーバーを使うと、必要以上の負担となり、悪影響が生じます。MFT に移行すれば、SLA を満たし、監査に合格するために必要な管理の可視性、制御、セキュリティ、信頼性、監査証跡が得られます。

結論

FTP の時代はもう過ぎ去りました。FBI が警告しているように、それに依存し続けることは、ビジネスを大きな脅威にさらすことになります。