常時SSL Lab.編集部『Chrome 62「保護されていません」アドレスバー表示の実際』などの記事でご紹介した通り、Google Chromeは暗号化されていないHTTPでの接続に対し、「保護されていません」という警告表示を開始しています。
現在は入力フォームのあるページだけの適用にとどまっていますが、その内容は段階的に強化されており、将来的には暗号化されていないだけで警告が表示されると言われてます。
そんな中、先日リリースされたChrome 63では、FTP(File Transfer Protocol)にも警告表示が拡大適用されました。
WebブラウザなのになぜFTP?と思われたかもしれませんので、少し説明したいと思います。
FTPとWebブラウザ
FTPは、サーバーとパソコンの間でデータ(ファイル)をダウンロード/アップロードする一般的な仕組みです。
一般的には、Webサイトの更新の際にHTMLや画像などの各種ファイルを、専用のソフトでサーバーに転送するイメージですが、一部のファイル共有サービスではWebブラウザでFTPを利用することがあります。
また、少し前までは、ソフトウェアベンダーがWebサイトのサーバー上でデータを提供/共有し、それを利用者がWebブラウザ経由でダウンロードする、というのもよくある光景でした。
今回適用された警告表示
HTTPには暗号化されたHTTPSがありますが、FTPも同様に通信経路上のデータを暗号化する仕組み「FTPS(FTP over SSL/TLS)」が存在します。
ただ、Google Chromeをはじめ主要なWebブラウザは「FTPS」に非対応で、Chrome 63でFTPを利用した場合、以下のような挙動になります。
アドレスバーに「ftp://ドメイン名」を入力してサーバーアクセスします。
ログインするまで「保護されていません」は表示されませんが、警告メッセージが表示されます。
ログイン後にアドレスバーに「保護されていません」が表示されます。
この状態の場合、通信経路上のデータは暗号化されておらず、情報漏えいや盗聴などのリスクが高まります。
FTPの問題点と今後の対応
Webサイトを常時SSL化していても、FTPは別の仕組みで動いているため、FTPSを利用しない限り暗号化は行われません。
また、Webブラウザの開発元は、利用頻度の低い機能を改善するのに消極的で、FTPSへの対応どころか将来的にはWebブラウザでFTP自体が標準提供されなくなる可能性のほうが高そうです。
前述の例のように、現在WebブラウザでFTPを利用している場合は、FTPSに対応したFTPソフトへの移行や、常時SSL化したWebサイト上に、ownCloudに代表されるファイル共有サービスを導入するなど、できるだけ早く安全な代替手段を検討しましょう。
この記事のポイント
- 主要なWebブラウザはFTPSによる暗号化には対応しておらず、Chromeでは警告表示の対象になる
- 将来的にWebブラウザによるFTPができなくなる可能性もあるので、早めに代替手段の検討を
株式会社IDCフロンティア
