NEWS(10/02/08 15:11)

ウイルス感染したPCにおける保存パスワードの窃取問題へ対策した「FFFTP」v1.97

マスターパスワード機能を追加、暗号化方式に“AES”を採用して暗号強度を向上

「FFFTP」v1.97「FFFTP」v1.97

 定番FTPクライアントソフト「FFFTP」の最新版v1.97が、7日に公開された。最近、マルウェアに感染したPCで、「FFFTP」がレジストリに保存したFTP接続パスワードが抜き取られてしまう攻撃事例が相次いでいる。本バージョンでは、そういったマルウェアへの対策が施された。

 まず、FTPサーバーへの接続設定を保護する“マスターパスワード”機能が搭載された。マスターパスワードは[接続]-[設定]-[マスターパスワードの変更]メニューで設定可能。あらかじめ設定しておいたマスターパスワードを指定して起動しないと、正しいパスワードが取り出せない仕組みになっており、FTP接続パスワードを保存して利用する場合の安全性が向上している。

 さらに、FTP接続設定を保存する際の暗号化方式として、アメリカ国立標準技術研究所(NIST)により定められた暗号化方式である“AES”が採用された。もともと「FFFTP」では簡易的な暗号化を施した上で接続設定を保存していたが、今回の修正で暗号化強度が強化され、解読されるおそれが少なくなっている。

 これらの対策は、げんげん氏による「FFFTPパスワード漏れ対処版」や、それをベースにMoca氏が“AES”暗号化機能を追加した「FFFTP パスワードAES版」をもとにしているほか、有志による不具合報告や議論を経て生み出されたもの。

 このように多くのユーザーによる自発的な協力が得られたのは、ソースコードが公開されており誰でも修正可能であったこと、そしてなにより使い勝手のよい定番FTPクライアントとして長年着実にバージョンアップを重ねてきた実績があればこそだ。

 ただ単に『このソフトは危険だ』などと決めつけてしまうのではなく、『どのように改善すればよいか』『今後もより安全にソフトを利用し続けるために何が必要か』といった本質的な議論とそれにもとづく行動こそが、“フリーソフト文化”を今後も維持していくためには必要であると言えるだろう。

 その一方で、通信を傍受するタイプのマルウェアに対しては、FTPパスワードが抜き取られるおそれが依然として残っている。これはFTPプロトコルの制限によるもので、本ソフトの更新だけで対応するには限界がある。ユーザー側も引き続き、各種アップデートパッチの確実な適用やウイルス対策ソフトの導入を怠らないといったマルウェアへの対策が必要だ。もし接続先のFTPサーバーがSSLなどに対応している場合は、SSL接続対応のFTPクライアントへ移行するなどといった対策も検討してほしい。

 本ソフトは、Windows 2000/XP/Vista/7に対応するフリーソフトで、現在作者のWebサイトや窓の杜ライブラリからダウンロードできる。

【著作権者】
曽田 純 氏
【対応OS】
Windows 2000/XP/Vista/7
【ソフト種別】
フリーソフト
【バージョン】
1.97(10/02/07)

(柳 英俊)