セキュリティ対策のお願い

以下のセキュリティ対策を実施いただきますようお願いいたします。

ファイル改ざん対策

知らない間にお客様のホームページにウイルスを感染させようとするスクリプトが勝手に埋め込まれてしまったという報告が増えております。
こうしたホームページの改ざんは、お客様がご利用中のPCがマルウェア(ウイルスやスパイウェアなど)に感染し、FTPアカウント情報が盗まれ、悪意を持った第三者によりホームページが改ざんされたことが原因として考えられます。
結果として、お客様のみならずお客様のホームページを閲覧された方のPCもマルウェアに感染して被害が拡大してしまったり、主要な検索サイトやセキュリティソフトにお客様のホームページが悪質なホームページとして判断されて、アクセスが激減する場合もあります。

こうした被害はサーバー側のセキュリティ対策だけでは防ぐことができません。お客様ご自身による対応も必要となります。
お客様ご自身で次の対策を必ず実施いただきますようお願いいたします。

 

  1. PCのセキュリティ対策

    ご利用中のすべてのPCのOS、Webブラウザ、メールソフト、FTPソフト、各種ソフトウェアを常に最新の状態にアップデートしてください。

    マルウェアに
    利用されやすい
    ソフトウェアの例
    • Adobe Flash Player
    • Adobe Reader
    • JRE(Java)
    • Lhaplus
    • Mozilla Firefox
    • Mozilla Thunderbird
    • QuickTime
    • Adobe Shockwave Player
    • Microsoft Office

  2.  

  3. ウィルス対策

    ご利用中のすべてのPCにウイルス対策ソフトを導入し、ウイルスやスパイウェアの検知・駆除を定期的に実施してください。
    ウイルス対策ソフトとウイルス定義ファイルは常に最新の状態にアップデートしてください。

    無料で利用できる
    セキュリティ
    ツール
    トレンドマイクロ オンラインスキャン(トレンドマイクロ株式会社)
    http://safe.trendmicro.jp/products/onlinescan.aspx
    ノートン セキュリティスキャン(株式会社シマンテック)
    https://security.symantec.com/nss/getnss.aspx??langid=jp
    McAfee Security Scan Plus(マカフィー株式会社)
    http://home.mcafee.com/downloads/free-virus-scan?culture=ja-jp&cid=84886
    カスペルスキー セキュリティ スキャン(Kaspersky Labs Japan)
    http://www.kaspersky.co.jp/products/home/security-scan
    Kates、Gumblar-x の検知と駆除(Kaspersky Labs Japan)
    http://support.kaspersky.co.jp/viruses/solutions?qid=208283462
    Microsoft Security Essentials(マイクロソフト株式会社)
    http://windows.microsoft.com/ja-jp/windows/security-essentials-download

  4.  

  5. パスワードを変更

    定期的にFTPアカウントのパスワードを変更してください。

    FTPアカウントのパスワード変更は、当社コントロールパネルで、以下の画面を開きます。

    ◇コントロールパネル > 一般 > ユーザー情報 > パスワード変更

    メインアカウントのパスワード変更を行うと、以下のパスワードも同時に変更されますのでご注意ください。

    • 当社コントロールパネルへのログイン
    • メインアカウントでのメールの送受信
    • インターネット接続(接続オプションをご利用の場合)

    サブFTPアカウントのパスワード変更は、当社コントロールパネルで、以下の画面を開きます。

    ◇コントロールパネル > システム > Webサイト > サブFTPアカウント

    サブFTPアカウントのパスワードを変更する場合は、パスワードを変更したいサブFTPアカウントをアカウント一覧から削除し、追加しなおします。

  6.  

  7. FTPアクセス制限を利用する

    FTPアクセス制限をONにし、FTPでの接続を許可するホスト(接続元)を登録してください。
    お客様が許可したホスト(接続元)以外からのFTPアクセスを拒否することができます。
    これにより、万が一にもFTPアカウント情報が盗まれたとしても、お客様が許可していないホスト(接続元)からのFTPアクセスはできなくなります。
    ⇒ FTPアクセス制限(サービス案内)

    FTPアクセス制限の設定は、当社コントロールパネルで、以下の画面を開きます。

    ◇コントロールパネル > システム > Webサイト > FTPアクセス制限

    FTPアクセス制限の設定方法に関しては、「FTPアクセス制限」をご確認ください。

  8.  

  9. Web アプリケーションは最新バージョンを使用する

    WordPress や phpMyAdmin などの Web アプリケーションをサーバーにインストールする場合は、常に最新バージョンにアップデートしてしてください。
    新しいバージョンには脆弱性対策が含まれている場合がありますので、古いバージョンを使用しつづけると脆弱性をついた攻撃を受けるおそれがあります。

  10.  

  11. CMS の管理画面やデータベース管理ツール、グループウェアにはアクセス制限を設定する

    WordPress などの CMS の管理画面にあたるディレクトリや、phpMyAdmin などのデータベース管理ツール、グループウェアの設置ディレクトリには、アクセス制限を設定してください。
    アクセス制限を設定しない場合、ログイン画面などに誰でもアクセスができるため、第三者に不正アクセスされるおそれがあります。

    アクセス制限の設定は、当社コントロールパネルで、以下の画面を開きます。

    ◇コントロールパネル > システム > Webサイト > アクセス制限

    アクセス制限の設定方法に関しては、「アクセス制限」をご確認ください。

  12.  

  13. ファイル・ディレクトリの保護

    ファイル・ディレクトリのアクセス権限(パーミッション)が「グループ」や「その他」に対して書込可能に設定されている場合は、第三者に改ざんされてしまうおそれがあります。
    パーミッション値は、「グループ」に対しては何も権限を与えず、「その他」に対しては必要最小限の権限を与えるように設定してください。
    たとえば、htmlファイルなどの通常のファイルでもパーミッションを「604」に設定することでセキュリティを向上させることができます。

    PHP(Apacheモジュール版)は httpd 権限で動作するため、ファイル・ディレクトリの所有権やパーミッションの設定に一部制約があります。
    そのため、共用サーバーで利用する場合はセキュリティを完全に守ることができません。
    重要なデータを取り扱う場合には、 PHP(CGI版)での利用、または専用サーバーでの利用を強くお勧めします。

    ⇒ PHPの利用 > Apacheモジュール版 と CGI版

  14.  

  15. VeriSign Trust™Sealの取得

    VeriSign Trust™Sealは、Webサイト運営者の実在と、Webサイトに悪意のあるソフトウェア(マルウェア)が仕込まれていない事を証明するサービスです。Webサイトの中身を毎日チェックし、マルウェアが仕込まれていないか検出し、マルウェアが検出された場合はWebサイト運営者に通知します。
    マルウェアが検出されなければ、安全なWebサイトであることを証明するサイトシールが表示されるため、サイト訪問者は安心して閲覧できます。

    VeriSign Trust™Sealの取得は、当社コントロールパネルで、以下の画面を開きます。

    ◇コントロールパネル > システム > SSL > VeriSign Trust™Seal

    VeriSign Trust™Sealの取得方法に関しては、「VeriSign Trust™Sealの取得」をご確認ください。

 

ファイル改ざんが確認された場合の対応

KAGOYA Internet Routing での対応

KAGOYA Internet Routing では、ファイル改ざんが確認された場合、二次被害を防ぐため、利用規約に基づく対応を行います。
対応は下記の通りです。

  1. アクセス制限

    お客様のサイトが閲覧できなくなります。
  2.  

  3. FTPアクセス制限

    どこからもFTP接続ができなくなります。
  4.  

  5. お客様へメールと電話にてご連絡

    連絡を差し上げました後、下記の手順 3 ~ 8 の対応をお願いいたします。
    • ファイル改ざんを確認しました時間が深夜・早朝の場合、電話連絡は翌日となります。

お客様での対応

お客様にてファイル改ざんを確認された場合は、下記の手順で改ざん箇所の修正と、必要なセキュリティ対策を行ってください。

  1. アクセス制限を実施

    改ざんされたページが閲覧できないように、アクセス制限を実施します。

    アクセス制限の設定は、当社コントロールパネルで、以下の画面を開きます。

    ◇コントロールパネル > システム > Webサイト > アクセス制限

    アクセス制限の設定方法に関しては、「アクセス制限」をご確認ください。

  2.  

  3. FTPアクセス制限を実施

    FTPでの不正アクセスからサーバーを保護するため、FTPアクセス制限ををONにします。

    FTPアクセス制限の設定は、当社コントロールパネルで、以下の画面を開きます。

    ◇コントロールパネル > システム > Webサイト > FTPアクセス制限

    FTPアクセス制限の設定方法に関しては、「FTPアクセス」をご確認ください。

  4.  

  5. ご利用中のPCのウイルス駆除

    FTP接続に使用するPCのウイルス対策ソフトによる完全スキャンを行い、ウイルスが発見された場合は、駆除を行い、安全が確認されたPCを用意します。
    ⇒ ウィルス対策を参照

  6.  

  7. パスワードの変更

    漏えいして不正アクセスに利用されたパスワードを変更します。
    ⇒ パスワードを変更を参照

  8.  

  9. FTPアクセス制限で許可ホストを登録

    FTPでの接続を許可するホスト(接続元)を登録します。

    FTPアクセス制限の設定は、当社コントロールパネルで、以下の画面を開きます。

    ◇コントロールパネル > システム > Webサイト > FTPアクセス制限

    許可ホストの登録方法に関しては、以下のマニュアルをご確認ください。
    • 常にFTPアクセスを許可するホストを登録する場合
      ⇒ 常時許可
    • 一時的にFTPアクセスを許可するホストを登録する場合
      ⇒ 一時許可

  10.  

  11. ファイルの修正

    改ざんが疑われるファイルを修正します。
    FTP接続に使用するPCは、あらかじめウイルス対策ソフトによる完全スキャンを行い、安全が確認されたものを使用します。

  12.  

  13. アクセス制限を解除

    改ざんが疑われるファイルの修正が完了したら、閲覧できるようにアクセス制限を解除します。

    アクセス制限の設定は、当社コントロールパネルで、以下の画面を開きます。

    ◇コントロールパネル > システム > Webサイト > アクセス制限

    アクセス制限の設定方法に関しては、「アクセス制限」をご確認ください。

  14.  

  15. ご利用中のすべてのPCのウィルス駆除

    FTP接続に使用するすべてのPCで、ウイルス対策ソフトによる完全スキャンを行います。
    FTP接続に使用するPCの内、1 台でもウイルスに感染していると、変更したパスワードが再び漏えいしてしまいます。
    FTP接続をする場合は、必ずウイルス対策ソフトによる完全スキャンを事前に実施してください。

目次