ラックは13日、インターネット上で、取引先情報や社員の個人情報などが意図せず公開されているケースを発見したとして、企業向けに注意喚起した。

同社は、インターネット上のサイバー攻撃やウイルスといった不正ソフトウェアを調査している過程で、国内約3400の組織・個人用FTPサーバ(ファイル転送サーバ)にて、パスワード入力なく外部からアクセスできる匿名FTPサーバが運用されていることを確認した。

内部情報を公開している匿名FTPサーバのイメージ(図:ラック)

ラックによると、匿名FTPサーバを意図せず使っていると見られるのは、個人以外では中小企業がほとんど。大企業や政府系機関では、目的があって情報を公開しているもの以外は確認できなかったという。しかし、中小企業で意図せず公開されている情報の中には、請求書や見積書の宛名に有名企業や組織名が確認できるケースも多く、取引内容や金額が第三者に閲覧できる状況になっているという。

FTPサーバで情報が公開状態になっている原因は、サーバアクセス権限の設定不備。ラックでは、「不特定多数に公開しているサーバだと認識していない」「過去に使ったFTPサーバが放置されている」「社員が個人でFTPサーバを設置し、会社がサーバの存在を認識していない」などの理由が考えられるとしている。

内部情報が一般公開されると、「取引先から情報管理の責任を問われる」「取引先とのやり取りが標的型攻撃に悪用される」「取引先名が漏れることで、取引先自身の情報管理が不十分だという風評被害を生じさせる」などの危険がある。これに加え、ウイルスや違法動画の「ファイル置き場」に悪用される恐れもある。

対策は、まず会社側がFTPサーバの設置状況を把握すること。その上で、もし設置されていた場合は業務に必要かどうかを判断し、必要であれば書き込み権限の設定を制限する。不審なファイルがサーバ内に置かれていないかも確認する必要がある。

同社は、FTPサーバの利用者、特に経営陣は「インターネットで公開状態にしている情報は容易に発見され得ることを認識し、適切なアクセス管理がなされているか確認して欲しい」と呼びかけている。