サービス名から探す : Bizメール&ウェブ ビジネス r3 (ライト/ベーシック)に関するご利用ガイド
不正アクセスを防ぐセキュリティ対策
不正アクセスを防ぐセキュリティ対策
悪意のある第3者からお客さま設備への不正アクセスが多数確認されています。
代表的な例として、ガンブラー(Gumblar)ウイルスによる被害、WordPressのログインID/パスワードの不正取得やプラグインソフトの脆弱性攻撃による被害、お客さまアカウントへのブルートフォース(総当たり)攻撃による被害があります。
下記の事例と対策をご確認いただき、再度セキュリティ対策の見直しをお願いします。
なお、お客さまご利用のPC(ローカル環境)がウイルスに感染している場合も、対策が必要となりますので併せてご確認をいただいたうえ、セキュリティ対策の見直しをお願いします。
1.これだけは実施しましょう!セキュリティ対策
以下のセキュリティ対策を実施し、お客さま環境を常に最新の状態にしていただくことを強くお勧めします。
■ご利用のソフトウェア・Windows OSなどのアップデート
広く普及しているソフトウェアやOSは不正アクセスの対象となる可能性が高まります。
ソフトウェアのご利用については特に注意し、セキュリティ対策を実施してください。
- ◇対策
-
- Adobe Reader、Adobe Acrobat、Flash Player、Internet Explorer などの最新版へのアップデート
- Windows OSやMicrosoft社製品(WordやExcelなど)のセキュリティアップデート
- サポートが終了したOSを使用しない
- 独自CGIや独自PHPのセキュリティ対策の見直し
- 不要なソフトウェアはインストールしない
- WordPressに導入しているプラグインソフトのセキュリティ情報を常にチェックし、セキュリティアップデートを定期的に実行する
■ウイルス対策
お客さまご利用のPCも、以下のとおり、ウイルスに対するセキュリティ対策が必要です。
- ◇対策
-
- ウイルス対策ソフトの導入とウイルス定義ファイルの最新版へのアップデート
- Windows OSやMicrosoft社製品(WordやExcelなど)のセキュリティアップデート
- 信頼できない発信元から送付されたメールに添付されたファイルを不用意に開封しない
- 信頼できない発信元から送付されたメールに記載されたURLへ不用意にアクセスしない
- ファイル共有ソフトで違法なコンテンツをダウンロードしない
■パスワード設定
ユーザーアカウントを適切に管理し、セキュリティレベルを高めてください。簡単なユーザーID/パスワード設定は悪意のある第3者に不正利用されるリスクが高まります。連想されやすい安易なパスワードをご利用の場合、パスワードの変更を実施してください。
- ◇対策
-
- 複雑な組み合わせを持つパスワード設定への見直し
- コントロールパネルのログインパスワード
- WordPressのログインパスワード
- FTPのログインパスワード
- お客さまのアカウントもしくは各サブアカウントのログインパスワード - パスワードを定期的に変更する
- 複雑な組み合わせを持つパスワード設定への見直し
■その他
日常から、セキュリティ対策を実施することが重要です。
- ◇対策
-
- セキュリティ対策が施されていない無線LAN環境での通信を控える
- 暗号化方式をWPA/WPA2にする(暗号化なし、やWEPでの暗号化の無線LAN環境は使用しない) - SSL通信をしていない状態でのID/パスワード入力を控える
- PCや携帯端末には必ずパスワードロックをかける
- ID/パスワードを手書きメモなどで残さない
- セキュリティ対策が施されていない無線LAN環境での通信を控える
2.不正アクセス事例
■ガンブラー(Gumblar)ウイルスによる被害
ガンブラー(Gumblar)ウイルスは感染したコンピュータの通信を監視し、ユーザーがFTPを用いてWebサイトを管理している場合、アクセス用のIDとパスワードを盗み出してWebサイトを改ざんし、感染用のプログラムを埋め込むウイルスです。
また、感染したコンピュータのWebブラウザの挙動を不正に操り、ブラウザの検索結果に悪意あるサイトへのリンクなどを表示させるといった動作を行います。最終的には、外部から不正に操作できるような仕掛け(バックドア)も埋め込まれてしまうため、ホームページ管理者から見つけられにくいという特徴があります。
- ◇被害
-
- ウイルス感染によりFTPソフトのID/パスワードの不正取得
- FTPソフトのID/パスワード不正利用によるホームページの改ざん
- ウイルス感染させる不正プログラムの埋め込み
- その他不正コンテンツの埋め込み(バックドアや外部へ強制的に遷移させるWEBページなど)
- 不正コンテンツを踏み台とし、外部への大量の迷惑メール送信やDoS攻撃など
■WordPressへの攻撃による被害
WordPressはフリーのブログツールの代表的ソフトであり大多数の利用者が存在しているため、WordPressを狙った攻撃が世界中で多数確認されています。多種多様なプラグインソフトが公開されており、利用者のカスタマイズによって表現の幅は広がりますが、公開されているプラグインによっては脆弱性が内在しているものがあるため利用には十分な注意が必要です。
- ◇被害
-
- WordPress管理サイト(ログインページ)へ無作為に作成した※ユーザーID、パスワードを用いて連続的にアクセスされ、不正にID/パスワードが取得される
- WordPressに導入しているプラグインソフトの脆弱性をつかれ、ホームページの改ざんやID/パスワードが不正に取得される
- 不正に取得したID/パスワードにより、
- ウイルス感染させる不正プログラムの埋め込み
- その他不正コンテンツの埋め込み(バックドアや外部へ強制的に遷移させるWEBページなど)
- 不正コンテンツを踏み台とし、外部への大量SPAMメール送信やDoS攻撃などを実施される
※ユーザーID・パスワード取得のために用いられるID・パスワードのリストは、無作為に作成されるリストの他に辞書に掲載されている単語や、単純な英数字の羅列、特定の固有名詞などを組み合わせてリスト化されるものがあります。
■ブルートフォース(総当たり)攻撃による被害
お客さまの管理している各アカウントやWordPressアカウント、その他のアプリケーションのログインID/パスワードの不正取得を狙い、リストアップしたID/パスワードの組み合わせを用いて全てのパターンを試しながらID/パスワ-ドの解析を実行する方法です。
複雑なID/パスワードを設定している場合、この攻撃では解析が極めて困難になりますが、簡易な(例えば特定の法則を持ったもの、記念日、辞書に載っている単語など)の組み合わせの場合、ID/パスワードを解析されてしまう可能性が高くなります。
- ◇被害
-
- 各アカウントのログインID/パスワードの不正取得
- 不正に取得したID/パスワードにより、
- ホームページの改ざん
- ウイルス感染させる不正プログラムの埋め込み
- その他不正コンテンツの埋め込み(バックドアや外部へ強制的に遷移させるWEBページなど)
- 不正コンテンツを踏み台とし、外部への大量の迷惑メール送信やDoS攻撃などを実施される
■その他一般的なウイルス感染経路と感染時の特徴
ウイルスの主な感染経路や特徴は以下の通りです。
- ◇代表的な感染対象
-
- Adobe Reader、Adobe Acrobat、Flash Player、Internet Explorerなどでセキュリティアップデートを実施していないもの
- Windows OSやMicrosoft社製品(WordやExcelなど)でセキュリティアップデートを実施していないもの
- WordPressの脆弱性のあるプラグインソフト
- セキュリティ対策が実施されていない、WEBアプリケーション
(脆弱性のある独自もしくはフリーのCGIやPHPプログラムなど) - その他、世間に広く普及しているアプリケーションで脆弱性の対処がされていないもの
- ◇感染経路
-
- メールに添付された悪意あるファイルの開封
- メールに記載されたURL(悪意あるホームページ)へのアクセス
- 掲示板や一般的なホームページから、悪意あるホームページへのアクセス
- ファイル共有ソフト(WinnyやShareなど)を用いて得た不正ファイルの実行
- 脆弱性のある独自CGIや独自PHPのインターネットへの公開
- 簡易なID/パスワード設定へのブルートフォース(総当たり)攻撃
- セキュリティ対策が施されていない無線LAN環境での通信
- ◇感染した際の特徴
-
- 各アカウントやFTPソフト、WordPress管理サイト、その他アカウントなどのID/パスワードの不正取得
- ホームページの改ざん
- ホームページへのウイルス埋め込み
- ホームページへの、ウイルス感染しているサイトへリダイレクトするようなプログラムの埋め込み
- クレジットカード情報(カード番号、暗証番号など)の不正取得
- 不正な通信の踏み台(身に覚えのない掲示板への悪質な書き込み、Dos攻撃などの発射台)
- 大量の迷惑メール送信
- 悪意ある第3者から遠隔操作される(BOT感染)
3.セキュリティに関する参考情報
安全なウェブサイトの作り方(独立行政法人 情報処理推進機構)