FC2がFTP接続設定方式を変更
「JSRedir-R」(GENO/ZlKon/Gumblar/Martuz)、HP改竄、Adobeの脆弱性関連情報の続きです。
改竄対策にFTP接続設定方式を変更
前回、国内主要ISPのユーザ向け注意喚起ページの掲載状況をまとめましたが、ASPで本件の対策としてかなり思い切った施策を打っているところを見つけました。「FC2」ホームページです。FC2自体は、ホームページ・ブログ・レンタルサーバーなどのサービスを手がけている会社。
FC2がブログで「新型のウィルスに関する注意」を掲載したのは2009年5月25日。この記事自体は取り立てていうほどのものではない。驚いたのは、同日発表された次の記事「【ホームページ】FTP接続情報の変更について」だ。
これによると、なんと6月2日以降、ウイルスによる改竄及び感染を防ぐ対策として、FTP接続時のホスト設定方式を変更するという。利用者がFC2ホームページにログインすると、自動的にパスワード変更画面が表示される。ここで利用者は、新しいFTPパスワードを設定する必要がある。また、FTPクライアントにてFTPサーバ名・FTPアカウント名・FTPパスワードの設定を変更しなければFTPサーバに接続できず、つまりホームページが更新できなくなる。
面食らったのは何の前触れもなく突然設定変更を言い渡された利用者だ。この記事が公開されたブログのコメント欄では、まだ新運用も始まらないうちから、戸惑う利用者が「何度やってもFTPパスワードを変更できる画面に切り替わりません。」といった質問をして、他の利用者から突っ込まれる光景が見られた。実際の運用開始後も、「パスワードを変えても接続できません」「対応が酷いよね」「管理画面の表示すらできない」といった不満のコメントが多数寄せられている。(「炎上」と呼ぶほどではないと思うが)
FC2が改竄対策で先行
とはいえ、FC2としてはこのくらいは予想の範囲内か。ユーザの不満や混乱はあるにせよ、サービス運営者が現在発生している問題を把握して、さらなる被害拡大を防ぐための明確な対策を打ち出したことは評価できる。(もっとも、利用者がAdobe製品のアップデートをしないと効果は半減だが。)FTP接続仕様の変更は、他の国内ISPが提供するホームページサービスでは見られなかった動きだ。恐らく、他のISPではユーザの混乱を恐れ、今後も何の施策も打たない(打てない)可能性が高い。FC2は今回のHP改竄への対策で、他社に一歩先行したと見ていいだろう。
今回のFC2の決断と対応は非常に迅速で驚かされた。状況を把握しても「何もしない」という選択肢もあったし、セキュリティ強化の責任を「Adobe Reader 等の脆弱性」の話として、その負担をユーザ側に負わせるのみにとどめることもできた。
FTP接続設定方法の変更という大胆な施策によって、ユーザ側では設定変更という負担が発生するものの、これ以上のHP改竄を防ぐ意義は大きい。
