• ゲスト様ようこそ
  • ログイン
  • 新規登録
  • ヘルプ
  • 「Bizメール&ウェブ エコノミー」をマイサポートに登録します。

    • 登録する
    • キャンセル

【注意喚起】不正アクセスにご注意ください

1.お客さまにおける不正アクセス対策のお願い

最近、悪意のある第3者による不正アクセスによりお客さまホームページが改ざんされる、お客さまホームページ領域に不正なコンテンツが設置され大量の迷惑メール送信の踏み台となる、もしくはお客さまホームページの内容の一部に不正なプログラムを記述し、お客さまホームページを訪問した方がウィルスに感染してしまうなどの事象が多数確認されています。

企業の公式サイトなど、多くの方が利用するホームページの中にも改ざんされているページがあり、被害が拡大しています。

お客さまにおかれましても以下の内容をご確認いただき、セキュリティ対策を行って頂くようお願いいたします。

セキュリティ対策ポイント

2.確認されている不正アクセスについて

確認されている、悪意のある第3者による不正アクセスは次の通りです。

◆ガンブラー(Gumblar)による不正アクセスについて
  • ウイルスに感染したお客さまPCからホームページ修正用のユーザーIDとパスワードを不正に取得し、お客さまホームページへ不正アクセスを実行する
  • 改ざんされたお客さまホームページにアクセスした訪問者を新たにウイルス感染させ、感染者の管理しているユーザーID、パスワードなどを不正に取得する
◆WordPressへの攻撃による不正アクセスについて
  • お客さまのWordPress管理サイトへ無作為に作成した※1ユーザーID、パスワードを用いて連続的にアクセスし、お客さまのユーザーID、パスワードを解析し不正に取得することでお客さまホームページに不正アクセスを実行する
  • お客さまのWordPressに導入しているプラグインソフトの脆弱性を利用し、お客さまホームページの改ざんやユーザーID、パスワードの不正取得による不正アクセスを実行する
◆ID・パスワードの取得を狙った総当たり攻撃による不正アクセスについて
  • お客さまの管理しているアカウントに対して、無作為に作成した※1ユーザーID、パスワードを用いて連続的にアクセスし、お客さまのユーザーIDとパスワードを不正に取得しお客さまホームページに不正アクセスを実行する

※1 ユーザーID、パスワード取得のために用いられるID・パスワードのリストは、無作為に作成されるリストの他に辞書に掲載されている単語や、単純な英数字の羅列、特定の固有名詞などを組み合わせてリスト化されるものがあります。

参考:その他の不正アクセス事例

3.不正アクセス被害を受けた場合の影響

お客さまホームページが不正アクセスを受けた場合、下記のような被害が想定されます。

  • ホームページの改ざん
  • ホームページへのウイルスの埋め込み
  • 訪問者をウイルス感染させることを目的としたホームページへ強制的にアクセスさせるプログラムの埋め込み
  • 不正な通信の踏み台※2(身に覚えのない掲示板への悪質な書き込み、DoS攻撃※3などの発射台)
  • 大量の迷惑メール送信の踏み台

また、不正アクセスを受けたお客さまホームページを訪問した方へも下記のような被害が想定されます。

  • ウイルス感染
  • クレジットカード番号の漏えい
  • オンラインバンキング用のID、パスワードの漏えい
  • ウイルス感染したPC上で実行される操作内容の外部への送信(各種サイトのIDやパスワードの漏えい)
  • 悪意ある第3者からの遠隔操作(BOT感染※4
  • PCのデータ破壊、OS破壊
  • PC内の全ての情報の漏えい

※2 管理者が気付かないうちに悪意ある第3者に乗っ取られ、外部への不正行為(不正アクセス、迷惑メール送信)の中継地点となっているPCやサーバー

※3 ホームページや、そのホームページを管理しているサーバー・ネットワークを構成する機器に対して攻撃を行い、サービスの提供を不能な状態にする攻撃

※4 悪意を持った第3者により、コンピュータを外部から遠隔操作することを目的として作成されたプログラムに感染すること

4.不正アクセス対策

◆お客さま環境、ホームページ環境の管理
  • ウイルス感染したPCの継続利用や、お客さま管理ホームページのユーザーID・パスワードが不正に取得されている状態でホームページ運用を継続することは大変危険です。定期的なウイルスチェックやOSバージョンアップ、パスワード変更などを実施し、日常からセキュリティ対策を実施してください。

セキュリティ対策ポイント

◆ユーザーアカウントの運用管理
  • 簡単なユーザーID、パスワード設定は悪意のある第三者に不正利用されるリスクが高まります。連想されやすい安易なパスワードをご利用の場合、パスワードの変更を実施してください。

    例)一般的に狙われやすいメールアドレス
      info@  admin@  shop@  order@  test@ など

簡易なパスワード設定の危険性

◆ウェブコンテンツ・プログラムの管理
  • お客さまが設置されているウェブアプリケーションの脆弱性を悪用し、ホームページの改ざんや第三者への大量の迷惑メール送信行為などが行われる場合があります。
    セキュリティ情報や脆弱性情報を確認し、最新のセキュリティ対策を維持していただきますようお願いします。

    例)phpMyAdmin  MovableType  Wordpress  ZenCart など         
    ※上記以外にも一般的に有名なウェブアプリケーションはターゲットにされやすいものとなります。

サーバー運用時の注意

このページのトップへ

.*