リモートユーザーが相互にファイル交換するとき、あるいは顧客やビジネスパートナーとファイル交換するとき、セキュアコピープロトコル(Secure Copy Protocol、SCP)を使用している企業は、別のアプローチを検討した方がいいかもしれません。
ZDNet は、「2019年の最も恐ろしいハッキングと脆弱性」という記事で、この年に発見された憂慮すべき脆弱性として SCP の脆弱性を挙げています。SCP の1983年以降のすべての実装に4つのセキュリティバグがあり、悪意のある SCP サーバーが不正な変更を行うことができるという脆弱性があることが判明しました。
SCP がファイルを転送するための安全な方法を提供していると思っていた人々にとって、この記事は少しショックでした。SCP には、サーバーとリモートクライアント間の通信で Advanced Encryption Standard(AES)や Standard Hashing Algorithms(SHA-2)などの暗号化アルゴリズムを使用する Secure Shell(SSH)プロトコルが含まれているので、安全だと思われていました。SSH は、クライアントからホストに入力を転送し、認証キーをクライアントに中継することによって、ユーザーの認証も行います。
SCP は、Windows、Linux、UNIX、および Mac デバイスで動作し、オペレーティングシステムにネイティブコマンドを提供することから、これまでの40年ほどの間に次第に多用されるようになってきました。ZDNet のレポートが出るまでは、データパケットを抽出できるパケットスニファをブロックしながら機密データを転送する SCPは安全だと認識されていました。SCP にはポート 22が使われ、転送されたファイルの権限やタイムスタンプも含まれています。
脆弱性はフィンランドで発見
SCP の脆弱性は、フィンランドのサイバーセキュリティ企業、F-Secure のセキュリティ研究者である Harry Sintonen 氏によって発見されました。Sintonen 氏は、発見された脆弱性を利用すると、クライアントシステムに不正な変更を加えたり、悪意ある操作を隠したりすることができると判断しました。SCP サーバーに、ターゲットディレクトリの権限を変更し、ファイルを上書きすることを可能にしてしまう2つの脆弱性が確認されました。別の脆弱性は、ANSI コードを介してターミナルクライアントの出力を操作し、後続の操作を隠蔽することを許してしまいます。
SCP が脆弱な理由の1つとして、SCP がTLS(Transport Layer Security)とその前身であるSecure Sockets Layer(SSL)を使用していないことが挙げられます。これらのツールは、ホストがリモートクライアントが正当であることを確認できるよう、ファイルを交換する2つのシステムのIDを暗号化キーのペアにバインドします。各ペアは、秘密鍵と公開鍵で構成され、リモートクライアントが公開鍵にアクセスできる一方、秘密鍵はホストシステムによって安全に保たれます。
2019年には、SCP に対して厳しい批判もありました。OpenSSH セキュリティユーティリティの開発者は、SCP を、「時代遅れで柔軟性がなく、すぐに修正できない」と断言し、先進的でよりセキュアなファイル転送プロトコルを使うべきだと述べました。セキュアファイル転送プロトコル(Secure File Transfer Protocol、SFTP)では、SSH(セキュアシェル)を介したセキュアなファイル転送を行うことができ、サーバーとデスクトップ間で大きなファイルを移動するのに適しています。このプロトコルは、他のシステムからアクセスできるように、安全なニュートラルな場所にファイルをアップロードします。
パンデミックによってセキュアなファイル転送の必要性が改めて認識される
新型コロナウイルスの影響で多くの人々が自宅からリモートワークすることを余儀なくされたことで、エンドユーザーがネットワークを介してファイル交換することが必須になり、企業がファイル転送のセキュリティレベルを上げる必要性が急激に高まりました。当初は戸惑いも見られたテレワークですが、自宅勤務でも効率的に仕事を進められることがわかり、パンデミックが収束した後もテレワークという選択肢は残り続けると思われます。セキュリティレベルを高く保つことの必要性は一過性のものではなく、高いセキュリティを維持し続けることが重要です。
転送中の機密ファイルを確実に保護するのに最適なのは、マネージド・ファイル・トランスファー(Managed File Transfer、MFT)です。MFT では、エンドツーエンドでファイルを暗号化することに加え、LDAP、Active Directory、NTLM、PAM などのユーザーリポジトリに接続するための認証も行います。
また、送信者情報、受信者情報、送信のタイムスタンプなど、ファイル転送操作に関する追跡データを生成し、意図された受信者がファイルを受信したことを証明することもできます。これらの機能は、システムがセキュリティポリシーに準拠しているかどうかをチェックする監査者(内部の場合も外部の場合も)に対応するときに役立ちます。MFT を使用すると、監査人が必要とするすべてのレポートを速やかに生成できます。
セキュリティを保ちデジタル資産を保護するには
プログレスでは、マネージド・ファイル・トランスファー製品として、MOVEit を提供しています。MOVEit は、128ビットの SSL 暗号化転送をサポートする安全な FTP サーバーを使ってファイルを交換するセキュリティ機能があり、インターネット通信の最高レベルの保護を提供します。
MOVEit は、TLS-C、TLS-P、IMPLICIT などの SSL モードをすべてサポートしており、ファイル転送アクティビティを完全に可視化してコントロールできます。また、実証済みの暗号化方式 (FIPS 140-2 検証済み AES-256 暗号化) により、転送中と保存中の重要なデータをセキュリティで保護します。中核となる業務プロセスの信頼性を保ち、機密性の高いデータを、パートナー、顧客、ユーザー、およびシステム間で、規制を遵守しつつセキュアに転送することが可能になります。
脆弱性が発見された SCP から脱却し、リモートユーザーがファイルを交換するときにデジタル資産を危険にさらすことを回避するための代替案を検討してください。MOVEit は、無料でご試用いただけます。