ファイル改ざん対策

知らない間にお客様のホームページにウイルスを感染させようとするスクリプトが勝手に埋め込まれてしまったという報告が増えております。
こうしたホームページの改ざんは、お客様がご利用中のPCがマルウェア（ウイルスやスパイウェアなど）に感染し、FTPアカウント情報が盗まれ、悪意を持った第三者によりホームページが改ざんされたことが原因として考えられます。
結果として、お客様のみならずお客様のホームページを閲覧された方のPCもマルウェアに感染して被害が拡大してしまったり、主要な検索サイトやセキュリティソフトにお客様のホームページが悪質なホームページとして判断されて、アクセスが激減する場合もあります。

こうした被害はサーバー側のセキュリティ対策だけでは防ぐことができません。お客様ご自身による対応も必要となります。
お客様ご自身で次の対策を必ず実施いただきますようお願いいたします。

1. PCのセキュリティ対策

   ご利用中のすべてのPCのOS、Webブラウザ、メールソフト、FTPソフト、各種ソフトウェアを常に最新の状態にアップデートしてください。

   マルウェアに 利用されやすい ソフトウェアの例	Adobe Flash Player Adobe Reader JRE（Java） Lhaplus Mozilla Firefox Mozilla Thunderbird QuickTime Adobe Shockwave Player Microsoft Office

   
   

 

2. ウィルス対策

   ご利用中のすべてのPCにウイルス対策ソフトを導入し、ウイルスやスパイウェアの検知・駆除を定期的に実施してください。
   ウイルス対策ソフトとウイルス定義ファイルは常に最新の状態にアップデートしてください。

   無料で利用できる セキュリティ ツール	トレンドマイクロ オンラインスキャン（トレンドマイクロ株式会社） http://safe.trendmicro.jp/products/onlinescan.aspx
   	ノートン セキュリティスキャン（株式会社シマンテック） https://security.symantec.com/nss/getnss.aspx??langid=jp
   	McAfee Security Scan Plus（マカフィー株式会社） http://home.mcafee.com/downloads/free-virus-scan?culture=ja-jp&cid=84886
   	カスペルスキー セキュリティ スキャン（Kaspersky Labs Japan） http://www.kaspersky.co.jp/products/home/security-scan

   
   

 

3. パスワードを変更

   定期的にFTPアカウントのパスワードを変更してください。

   FTPアカウントのパスワード変更は、当社コントロールパネルで、以下の画面を開きます。

   ◇コントロールパネル ＞ 一般 ＞ ユーザー情報 ＞ パスワード変更

   メインアカウントのパスワード変更を行うと、以下のパスワードも同時に変更されますのでご注意ください。

   • 当社コントロールパネルへのログイン
   • メインアカウントでのメールの送受信
   • インターネット接続（接続オプションをご利用の場合）
   
   

   サブFTPアカウントのパスワード変更は、当社コントロールパネルで、以下の画面を開きます。

   ◇コントロールパネル > システム > Webサイト > サブFTPアカウント

   サブFTPアカウントのパスワードを変更する場合は、パスワードを変更したいサブFTPアカウントをアカウント一覧から削除し、追加しなおします。
   
   

 

4. FTPアクセス制限を利用する

   FTPアクセス制限をONにし、FTPでの接続を許可するホスト（接続元）を登録してください。
   お客様が許可したホスト（接続元）以外からのFTPアクセスを拒否することができます。
   これにより、万が一にもFTPアカウント情報が盗まれたとしても、お客様が許可していないホスト（接続元）からのFTPアクセスはできなくなります。
   ⇒ FTPアクセス制限（サービス案内）

   FTPアクセス制限の設定は、当社コントロールパネルで、以下の画面を開きます。

   ◇コントロールパネル > システム > Webサイト > FTPアクセス制限

   FTPアクセス制限の設定方法に関しては、「FTPアクセス制限」をご確認ください。
   
   

 

5. Web アプリケーションは最新バージョンを使用する

   WordPress や phpMyAdmin などの Web アプリケーションをサーバーにインストールする場合は、常に最新バージョンにアップデートしてしてください。
   新しいバージョンには脆弱性対策が含まれている場合がありますので、古いバージョンを使用しつづけると脆弱性をついた攻撃を受けるおそれがあります。

 

6. CMS の管理画面やデータベース管理ツール、グループウェアにはアクセス制限を設定する

   WordPress などの CMS の管理画面にあたるディレクトリや、phpMyAdmin などのデータベース管理ツール、グループウェアの設置ディレクトリには、アクセス制限を設定してください。
   アクセス制限を設定しない場合、ログイン画面などに誰でもアクセスができるため、第三者に不正アクセスされるおそれがあります。

   アクセス制限の設定は、当社コントロールパネルで、以下の画面を開きます。

   ◇コントロールパネル > システム > Webサイト > アクセス制限

   アクセス制限の設定方法に関しては、「アクセス制限」をご確認ください。
   
   

 

7. ファイル・ディレクトリの保護

   ファイル・ディレクトリのアクセス権限（パーミッション）が「グループ」や「その他」に対して書込可能に設定されている場合は、第三者に改ざんされてしまうおそれがあります。
   パーミッション値は、「グループ」に対しては何も権限を与えず、「その他」に対しては必要最小限の権限を与えるように設定してください。
   たとえば、htmlファイルなどの通常のファイルでもパーミッションを「604」に設定することでセキュリティを向上させることができます。

   PHP（Apacheモジュール版）は httpd 権限で動作するため、ファイル・ディレクトリの所有権やパーミッションの設定に一部制約があります。
   そのため、共用サーバーで利用する場合はセキュリティを完全に守ることができません。
   重要なデータを取り扱う場合には、 PHP（CGI版）での利用、または専用サーバーでの利用を強くお勧めします。

   ⇒ PHPの利用 > Apacheモジュール版 と CGI版
   
   

 

8. VeriSign Trust™Sealの取得

   VeriSign Trust™Sealは、Webサイト運営者の実在と、Webサイトに悪意のあるソフトウェア(マルウェア)が仕込まれていない事を証明するサービスです。Webサイトの中身を毎日チェックし、マルウェアが仕込まれていないか検出し、マルウェアが検出された場合はWebサイト運営者に通知します。
   マルウェアが検出されなければ、安全なWebサイトであることを証明するサイトシールが表示されるため、サイト訪問者は安心して閲覧できます。

   VeriSign Trust™Sealの取得は、当社コントロールパネルで、以下の画面を開きます。

   ◇コントロールパネル > システム > SSL > VeriSign Trust™Seal

   VeriSign Trust™Sealの取得方法に関しては、「VeriSign Trust™Sealの取得」をご確認ください。
   
   

 ページトップに戻る

ファイル改ざんが確認された場合の対応