テクノブレスト株式会社
その他の製品
テクノブレスト株式会社
その他の製品

安全なファイル転送と共有
Windows 用 FTP/MFT サーバー
EnterpriseDT ー エンタープライズディティ

CompleteFTP セキュリティ通知 2026

2026年5月18日

CompleteFTP のバージョン 10.0.0 ~ 23.0.4(2016 年 12 月~2023 年 9 月にリリース)における SSH キー生成に関して、セキュリティ研究者である Trail of Bits および BadKeys プロジェクトにより脆弱性が発見されました。
この期間に CompleteFTP により生成された SSH キーは、一部のケースにおいて、対応する公開鍵から攻撃者によって復元される可能性があります。
この問題は CompleteFTP 23.1.0 で修正されています。

この脆弱性を実際に悪用するためには、攻撃者はクライアントとサーバ間のネットワーク通信を傍受できる必要があり、その上でサーバになりすます必要があります。
一般的には、クライアントとサーバ間の通信経路上のどこか(例えば侵害されたネットワークや信頼できないネットワーク)へアクセスできることが前提となります。

お客様にご利用をいただいております CompleteFTP ライセンスが上記バージョンに該当している場合は、この脆弱性の影響を受ける場合があります。
SSH キーはアップグレード後も保持されるため、現在は新しいバージョンへ更新済みであっても、過去に影響を受けるバージョンを使用していたサーバでは、脆弱なキーが現在も残っている可能性があります。

影響を受けるキーが存在するか確認するには、既存のインストール環境上で単体ツール「KeyChecker」を実行してください。アップグレードは不要です。
Windows 版は、こちらからダウンロードできます。

■KeyCheckerの使用方法

KeyChecker は CompleteFTP サーバと同じマシン上で実行する必要があります。
ZIP ファイルを展開後、コマンドラインを開き、引数なしで KeyChecker.exe を実行してください。
Windows 環境では、既定のインストール場所(config.db、旧バージョンでは config.sdf)を自動検出します。

KeyChecker.log が実行ファイルと同じ場所に出力され、サポートに提出いただく際に利用できる完全な実行ログが記録されます。

KeyChecker.zip の SHA256 チェックサム:
79bd2fbe53cab7776a5061270c411c680f5c6dc229b90eb6581739d969d7e21c

■ 問題への対応方法

KeyChecker は、影響を受ける SSH キーの概要を表示し、再生成方法について詳細に説明します。
CompleteFTP のバージョンが 23.1.0 未満の場合は、キー再生成を正しく行うためにもアップグレードしてください。

  • DSA キーは既に廃止された方式であり、使用すべきではありません。DSA を無効化し、ユーザーが使用している DSA キーも削除してください。この変更により、一部ユーザーへ影響が出る可能性があります。

DSA を無効化するには:

    1. CompleteFTP Manager を起動
    2. サイト設定 → SFTP/SCP → Advanced SFTP/SCP Settings →アルゴリズム → パブリックキーアルゴリズムでDSA のチェックを外す
    3. 「変更の適用」で保存
  • サーバ側 DSA / RSA ホストキーの再生成
    脆弱な DSA および RSA ホストキーは再生成する必要があります。
    SSH ホストキーを変更すると、すべての SFTP クライアントにおいて、次回接続時に「ホストキーが変更された」という警告が表示されます。
    通常のホストキー変更時と同様に、事前に利用ユーザーとの調整が必要です。

ホストキー再生成手順:

    1. CompleteFTP Manager を起動
    2. サイト設定 → SFTP/SCP → Advanced SFTP/SCP Settings → DSA キー または RSA キー の右側の「…」を選択
    3. 「Generate new private key」を実行
    4. 「変更の適用」で保存
  • ユーザー RSA キーの再生成、および DSA キーの削除
    脆弱な RSA キーは再生成し、DSA キーは削除してください。

手順:

  1. CompleteFTP Manager を起動
  2. ユーザー を開く
  3. KeyChecker により脆弱と判定されたユーザーを選択
  4. 右側 Properties パネルの「Public keys」横の「…」を選択
  5. KeyChecker レポートに表示された MD5 フィンガープリントと一致するキーを選択
  6. 「Remove currently selected key from the list」を実行
  7. 脆弱と判定されていないキーは削除しないでください
  8. 「変更の適用」で保存

推奨される運用方法としては、各ユーザー自身に秘密鍵を生成してもらい、その公開鍵をサーバ管理者へ提供して登録する方式です。
そのため、対象ユーザーへ新しい公開鍵の提出を依頼する必要があります。
なお、複数の鍵が登録されているユーザーについては、新規公開鍵の提出が不要な場合もあります。