ネットワークのお話、その6:セキュリティーの話<脅威と対策

マックスストーンの小畑です。
総務経理担当&テクニカルサポートをやっています。

今回は、Webサイトの「セキュリティ―」の話をしたいと思います。
最近特に、Webサイトには海外から攻撃が多くなって来て、国際紛争もあり防御を考えないといけない状況になってきました。
対策を取るための方法を列挙したいと思います。
下記の項目に分けて話をしたいと思います。
1.脅威とは
2.現在の状況
3.対策

1.脅威とは

攻撃者は複数の不正プログラムをWeb経由でユーザ環境に送り込み、脅威連鎖を引き起こします。
(引用:トレンドマイクロ社サイト)

  • 不正サイトへの誘導などの手段でユーザ環境に不正プログラムを感染させる
  • 感染した不正プログラムは外部不正サイトにアクセスし、他の不正プログラムをダウンロードしたり、遠隔操作を受けるなどの不正活動を行う
  • 新しく侵入した不正プログラムもまた外部不正サイトへのアクセスを行い、複数の不正プログラムがユーザ環境に多重感染すると同時に新たな不正プログラムの侵入が継続される

⇒上記以外にも、単純にサイトを使えないようにする、DOS攻撃DDOS攻撃もあります。
⇒Webサイトのアクセスログを見ても、wordpressの管理者ログインURLに対して多数のアクセスがあることからも脅威は拡大しています。
※画像出典:JNSA(日本ネットワークセキュリティ協会)

2.現在の状況

Webサイトに特化してみると不正プログラムをWeb経由でユーザ環境に送り込む方法として下記の方法があります。

①管理者でログインできないか試行を繰り返す。(総当たり、辞書等を活用)
②FTPでのアクセスを試行する。(総当たり、辞書等を活用)
③問合せフォームに不正コードを書き込む(サイトスクリプティング、SQLインジェクション等)

3.対策

①管理者でログインできないか試行を繰り返す。(総当たり、辞書等を活用)
 ⇒https://xxxxx.com/wp-login.php/ のような一般的なurlを避ける。
  wordpressではサイトガードのようなプラグインも利用可能。
②FTPでのアクセスを試行する。(総当たり、辞書等を活用)
 ⇒想定しやすいID(サイト名と同じとか)や単純なパスワード(123456や1qaz2wsx(キーボードの並び)にはしない)
 ⇒単純なFTPではなく、SFTP等を利用することも有効です。(2段階認証も活用するとなお安心です。)
③問合せフォームに不正コードを書き込む(SQLインジェクション等)
 ⇒https://xxxxx.com/contact/ のような一般的なurlを避ける。
 ⇒フォーム自体で不正コードを投稿されても大丈夫な対策を事前に実施しておく必要があります。
 ⇒wordpressではreCAPTCHAのようなサービスも利用可能です。
④アクセスログ、エラーログを定期的にチェックする。
 ⇒契約しているレンタルサーバごとに置き場所は異なりますが、参照は可能なので
  調べて、確認してみるとどれほど、どの国から、どのURLに、誰から(IPアドレス)アクセスがあるか分かります。
⑤サーバでの対策を実施する。
 ⇒特定のIPアドレスから攻撃が多い場合は、そのIPアドレスを拒否する設定を実施する。
 ⇒WAF(Webアプリケーションファイアウォール)の設置(または設定)
  ⇒レンタルサーバによって可能なものをあるのでそのサーバを選ぶ事も検討する。
   例:XSERVERのWAFでは下記の設定が可能です。
    XSS (クロスサイトスクリプティング)
    SQL (SQLインジェクション)
    ファイル (ファイル不正アクセス)
    メール (メールの不正送信)
    コマンド (コマンドアクセス/実行)
    PHP (PHP関数の脆弱性)

 ざっくりベースで書いてみましたが、脅威はどんどん拡大しています。
 下記のサイトでも最近の状況を紹介していますので、頻繁にチェックすることをお勧めします。
 IPA:情報セキュリティ10大脅威 2022
https://www.ipa.go.jp/security/vuln/10threats2022.html

■バックナンバー
その1:私が電電公社に入社したころ
その2:デジタル時代のネットワークが始まったころ
その3:OSIの話<これって何?必要性は?
その4:TCP/IPの話<これって何?
その5:DNSの話<設定は難しいの?

まとめ

今回はWebセキュリティのお話でした。

今回の内容で質問等があれば問合せフォームからご連絡ください。

回答は時間が掛かる場合もありますが、必ず回答いたします。
次回をお楽しみに(^^♪

オンライン相談やっています!

ホームページについてのご質問やご依頼など、お気軽にご相談ください。
オンラインで受付しています!

2022年度 IT導入補助金 予約受付中

マックスストーンはIT導入補助金の申請が可能な認定業者です。
また高い採択率(2020年度 100%)を誇り、申請のコツを熟知!
現在2021年度のIT導入補助金を受付中です。
サイト制作の2/3が補助されますのでホームページをご検討の方はぜひご相談ください。

お問い合わせはこちらから

[contact-form-7 404 "Not Found"]