皆さん、こんにちは。

業務改善を行うIT・業務コンサルタント、高橋です。

昨今、DNS（Domain Name System）インフラを狙った攻撃が増加していることを受け、ICANN（Internet Corporation for Assigned Names and Numbers/アイキャン）が『DNSSEC（Domain Name System Security Extensions）』の導入を呼び掛けています。

では、『DNSSEC』を導入することで何が変わるのでしょうか？

DNSSEC導入で防げるリスク

このDNSインフラの改ざん被害、米国土安全保障省も全省庁に警戒と緊急対策を指示しているほど深刻な問題です。

ではDNS情報の改ざんは検知できないのか？

『DNSSEC』を導入すればそういった改ざんは検知できます。

『DNSSEC』はデータに対してデジタル署名を行うことで改ざんを防ぐ技術ですから、その導入が進めば多くのDNS情報の改ざんが検知できることになります。

（※　すべての攻撃を防げるわけではありません。）

つまり、リスクを減らすことができるわけです。

この『DNSSEC』、日本においてはさらに遅れた状態になっています。

『DNSSEC』はドメインのレジストラとホスト、両方がそれに対応している必要があり、一部のレジストラにおいては有償オプションとして対応しているものの、ホスト側においてはなかなか対応に踏み切っているところは少ない状態にあります。

また、ユーザー側の認知度も低い状態です。

それらを考えると日本における普及はまだまだ時間がかかりそうですが、少しでも多くのレジストラやホスティング会社の対応、そしてユーザーの利用が進むことを願うばかりです。

皆さん、こんにちは。

業務改善を行うIT・業務コンサルタント、高橋です。

今日はすっかり遅くなってしまいましたので少しだけ。

WordPressで『Duplicator』というプラグインを使っている方、脆弱性情報が出ています。

WordPressプラグインDuplicatorに脆弱性

WordPressのプラグインである『Duplicator』において、リモートからの攻撃によって任意のコードが実行される脆弱性が存在することが発表されています。

緊急度の高い脆弱性です。

対象：Duplicator 1.2.40 以前

影響内容：リモートから任意のコードが実行されたり、任意のファイルの任意の箇所を改ざん、追記、または消去されたり、任意の場所に不正な内容のファイルを設置される可能性があります。

対処方法１：当該プラグインを最新版にアップデートする

対処方法２：脆弱性に関連するファイルを削除し、パッチの適用を行う

パッチに関する参考サイト：Duplicator Update Patches Remote Code Execution Flaw

以上、ご参考まで。

皆さん、こんにちは。

業務改善を行うIT・業務コンサルタント、高橋です。

さて、不要なファイルとかのお掃除をしてくれるシステムメンテナンスツールの『CCleaner』ですが、先月公開されたバージョンにおいて改ざん被害にあっていたことが明らかになりました。

では、早速詳細を見ていきましょう。

CCleanerとCCleaner Cloudの改ざん被害

CCleanerとCCleaner Cloudが改ざん被害にあったのは、

・CCleaner：V5.33.6162（8月15日公開）

・CCleaner Cloud：V1.07.3191（8月24日公開）

の2つです。

これにはマルウェアウイルスが含まれていることが確認されており、コンピュータ名、使用しているソフトの一覧、実行中のプロセス、ネットワークアダプタのMACアドレス、システム情報などが外部サーバに送信される仕組みになっています。

また、これには有効なデジタル署名が施されており、開発プロセスか署名プロセスの一部が乗っ取られた可能性もあるようです。

現在、CCleanerはv5.33がダウンロードサイトから削除されて最新版はv5.34になっており、CCleaner Cloudは修正版のv1.07.3214が配信されていますので、問題のあるバージョンを使っている方は直ぐに新しいものにした方が良いです。

このように、便利に使えるシステムメンテナンスツールにおいても改ざんなどの被害にあっていることがあります。

セキュリティソフトでチェックを行ってから使用するなど、使用時には注意が必要です。

皆さん、こんにちは。

業務改善を行うIT・業務コンサルタント、高橋です。

今年の2月、155万以上ものWordPressサイトが改ざん被害にあいました。

参照：WordPressの改ざん被害発生

これらの攻撃を受けてしまうリスクは、どのWordPressサイトにおいても常に存在しています。

WordPressは常に狙われている

ここ最近、この業務改善コンサルティング情報ブログにも狙われた痕跡がありました。

（現状はトルコ、ロシアから。）

とは言っても、ごく一般的なWordPressサイトに対するスキャンではります。

このようなことは、どのWordPressサイトにおいても起きています。

何故か？

攻撃者によって、悪用可能な脆弱性のあるWordPressサイトを常にスキャンしているからです。

WordPressを被害から守るには

WordPressなどのCMS（Content Management System/コンテンツマネジメントシステム）を使っている以上、脆弱性とは恒久的に付き合っていかなければいけません。

システムというのはそういうものでもあります。

そして、常に攻撃対象となってしまうことからは逃れられません。

これらのサイバー攻撃からWordPressサイトを守るには、WordPress本体、プラグイン、どちらも最新バージョンを維持し続けることです。

WordPressなどのアップデート（バージョンアップ）には、機能向上もあればセキュリティ更新もあります。

Windowsのアップデートと同じです。

カスタマイズによってWordPressがアップデートできないサイトの場合は、WAF（Web Application Firewall/ウェブアプリケーションファイアウォール）などを使って保護してください。

不正アクセスをブロックしてくれます。

ただし、これはWordPressがどうしてもアップデートできない状態にある場合の代替案であって、基本は最新を保つことです。

※　完全には守り切れません。

より良い方法としては、どちらも行う（WordPressなどを最新の状態に保ちながらWAFなどでも保護する）ことが望ましいでしょう。

皆さん、こんにちは。

業務改善を行うIT・業務コンサルタント、高橋です。

以前、『DNSSECを使えるなら使うべき』という記事にて、DNSSEC（Domain Name System Security Extensions）に関して触れましたが、このDNSSECに関しても日本においては世界に比べて非常に普及率が低い状況です。

では、これが施されていないとどのような危険性があるのでしょうか？

DNSキャッシュポイズニング攻撃

DNSは、負荷軽減や高速化を目的としてドメインの情報を一時的にキャッシュする仕組みを取り入れていることが多いのですが、このキャッシュ機能を悪用して偽のDNS情報を蓄積させてしまう『DNSキャッシュポイズニング』という攻撃があります。

これにより、本来とは異なる有害サイトへの誘導やWeb、メール内容の盗聴や改ざん、スパムメールの送信など、さまざまな影響を及ぼしたりします。

これらは、自分自身をはじめ、関係者や取引先が騙されてしまい被害にあうなど、重大な問題に発展する可能性を秘めています。

DNSSECの普及状況

さて、このDNSSECの普及状況を見てみると、アメリカ、ヨーロッパあたりは20%強程度普及していますが、日本においては9%程度、アジアの平均程度しか普及していません。

（北欧などの一部の地域では90%を超えています。）

日本は国の行政機関も大半は対応しておらず、ここでも日本におけるセキュリティ意識の低さを感じます。

ただし、日本においては整備が追い付いていないことから行えない現状もあるようで（レジストラなどが対応していない）、現時点においては行えないという方が正しいかもしれません。

日本国内においても早く整備されることを願うばかりです。

皆さん、こんにちは。

業務改善を行うIT・業務コンサルタント、高橋です。

先月、世界で155万サイト以上、日本国内においても多数のウェブサイト改ざんの被害が相次ぎました。

このターゲットとなってしまったのは、オープンソースで開発されているCMS（Content Management System）の1つであるWordPressです。

日本国内においても非常に多く使われています。

このWordPressが、その時の最新バージョンである4.7.2（現在は4.7.3）に更新されていれば被害は防ぐことができたわけですが、残念ながら最新バージョンにアップデートされていなかったサイトが多数あったようです。

自動更新機能の停止

個人的に作られているブログサイトなどを除き、企業などの事業者がWordPressで構築されたサイトを公開している場合、そのサイトはウェブ業者などによってカスタマイズされています。

そして、カスタマイズされたWordPressサイトにおいては表示や動作の問題が起きないよう、WordPressのアップデートを自動的に行ってくれる自動更新機能を停止させていることが多くあります。

つまり、カスタマイズしたWordPressサイトにおいて新しいバージョンを適用しても問題がないことを確認してから手動でアップデートを行うようにしてあることが多くあるのです。

この自動更新機能を停止させていることそのものは間違いではありません。

突然アップデートされ、表示や動作に問題が起きてしまうことを考えると、むしろ当然の対処法です。

攻撃はすぐに開始される

セキュリティの脆弱性を狙った攻撃は、脆弱性を修正した情報が公開された数日後程度くらいには開始されます。

実際には、48時間以内に攻撃コードが公開されてしまい、その後に攻撃が急増していくようです。

これを防ぐためには、すぐにテスト環境においてチェックを行い、問題がなければ早急に本番環境もアップデートをすることです。

また、WordPressの管理画面に長期間ログインしていないのであれば、リアルタイムで情報を入手するようにしてください。

これらに関してウェブ業者に任せている場合、アップデートに関することを含めた形でメンテナンス契約を見直してください。

セキュリティへの意識は非常に重要です。

皆さん、こんにちは。

業務改善を行う業務コンサルタント、高橋です。

ウェブサイト構築において多く用いられているWordPressですが、これを含めた各種CMS（content management system/コンテンツマネジメントシステム）などにも必ずと言って良いほど脆弱な部分は存在します。

これらの脆弱性を悪用した被害にあわないためには、どのような対策を講じる必要性があるのでしょうか？

WordPressサイトが改ざんされた理由

今回の改ざん事例は実際に先週末あたりから被害が報告されており、原因はREST APIと呼ばれる処理に起因した脆弱性が存在したことにあります。

※　REST APIとは、Webシステムを外部から利用するためのプログラムの呼び出し規約の種類の一つです。

この脆弱性が悪用された場合、第三者からのリモート攻撃によってサーバ上のコンテンツを改ざんされる可能性があったわけですが、それが実際に起きてしまいました。

WordPressを大至急アップデートせよ

今回影響を受けたのは、WordPress4.7.0から4.7.1のバージョンで、現在の最新バージョンは4.7.2です。

影響を受けるバージョンを使われている場合、大至急WordPressを4.7.2にアップデートする必要があります。

またWordPress.orgは、バージョン4.7.2を2017年1月26日にリリースしたのですが、利用者の安全確保のため、この脆弱性の内容については2月1日まで公開を遅らせていたようです。

このように、WordPressなどのCMSにおいても脆弱性を悪用された被害は以前から存在します。

そして、これらのものを使っている以上、常に最新版を維持するよう、アップデートをしておく必要性があります。

今回影響を受けた対象はWordPress4.7.0から4.7.1ではありますが、それ以前のバージョンにおいても脆弱性は存在しています。

従って、常に最新版を維持する必要があるというのは、基本的に全てのWordPress利用者が対象であるということです。

以前にもお話ししましたが、WordPressなどのCMSを使っている以上、アップデートへの対応は継続的に行わなければいけません。

＜参考情報＞

WordPress.org
『WordPress 4.7.2 Security Release』
https://wordpress.org/news/2017/01/wordpress-4-7-2-security-release/

独立行政法人情報処理推進機構 (IPA)
『WordPress の脆弱性対策について』
https://www.ipa.go.jp/security/ciadr/vul/20170206-wordpress.html

皆さん、こんにちは。

業務改善を行う業務コンサルタント、高橋です。

今日は、先々週にJPCERTより出された『Webサイト改ざんに関する注意喚起』に関してです。

Webサイト改ざんに関する概要

JPCERTでは、Webサーバに不正なファイルを設置することで、アクセス回数や閲覧者などWebサイトの利用状況等についての調査活動を行う目的で、国内の複数のWebサイトを改ざんしているという情報を得ているようで、具体的には以下ことを行っているようです。

・Webサーバに不正なファイルindex_old.phpを設置し、Webサイトのトップページに不正なファイルを読み込ませる処理を追加する

<script type=”text/javascript” src=”.index_old.php”></script>

・利用者がWebサイトを閲覧すると、上記不正ファイルが実行され、閲覧者のIPアドレス、閲覧日時等がログとして記録される

この調査活動は、Webサイトの利用状況等の調査のほか、水飲み場型攻撃などサイバー攻撃の踏み台としての悪用可否を確認していると見られるとのこと。

Webサイトの管理者は、管理しているWebサイトのコンテンツが改ざんされていないかを確認し、必要な対策を施すことを促しています。

Webサイト改ざんに関する対策

具体的な対策に関しては、以下のことが紹介されています。

・Webサーバで使用しているOSやソフトウェアのセキュリティアップデートを実施する

・20,21/TCP（FTP）ポート、23/TCP（TELNET）ポートを無効化し、SSHなどのセキュアなプロトコルにてWebサイトのメンテナンスを実施する

・Webサイトのコンテンツ更新を運用で使用する特定のPC（IPアドレス）からのみ実施出来るように制限する

・Webサイト更新用のアカウント（SSH/CMS等）のパスワードを強固なものに変更する

・Webサイトのコンテンツのバックアップを取得し、差分確認を定期的に実施する

どれも基本的なことではありますが、Webサイト改ざんをされないためにも今一度見直しをしてみてください。

今日は、その原因が判明しましたのでそれをお伝えします。

皆さん、こんにちは。

業務改善を行う業務コンサルタント、高橋です。

先週ご紹介した共有型レンタルサーバにおける問題の原因が判明しました。

原因はこれです。

WordPressの旧バージョンが狙われた

お客様が契約されている共有型レンタルサーバと同じサーバを契約していた他のユーザーが設置しているWordPressのバージョンがかなり古いバージョンであったため、それに潜在する脆弱性が突かれた、結果サイト内のファイルの改ざんやスパムメールの発信等の機能を備えた不正なファイルが設置されていたことが原因でした。

これによって何らかのスパムメールが配信されてしまい、SPAMHAUSプロジェクトとCBLのデータベースにブラックリスト入りしてしまったものと判明しました。

CBLの説明によると、この感染によって『ボットネット参加している』とされており、昨今急増している『踏み台』にされた可能性があると思われます。

WordPressは常に最新を保て

WordPressなどのCMSは定期的にバージョンアップを行っており、その中には脆弱性に対する修正も当然含まれています。

そのため、ターゲットとならないためには最新の状態を保つことでその確率を減少させることが必要となるのです。

もちろん、これらの本体プログラムのバージョンアップだけではなく、プラグインもそれに伴ってバージョンアップが行われますので、どちらも最新を保たなければいけません。

バージョンアップが困難なもの

しかし、中にはバージョンアップをするのが困難なものもあります。

困難と言っても、できないわけではありません。

カスタマイズの仕方によってはバージョンアップをすることで表示が崩れてしまうものや、プラグインとの兼ね合いで表示が崩れてしまうといったものもあり、それらを改修するにはコストが少々高額になってしまうケースがあります。

そういった意味で簡単にはバージョンアップできないものもあるということです。

このような場合、レンタルサーバのオプションなどでWAF（ウェブ・アプリケーション・ファイアウォール）が使えるのであればそれを利用するのも1つの手です。

ただし、これは簡単にバージョンアップできないような、やむを得ない場合に限っての措置と考えた方が良いでしょう。

WAFが設置されていれば問題は起きないというわけではありません。

あくまでも確率を多少減少させるといったことになりますので、できることならばバージョンアップすることの方が良いです。

やはり、もっとセキュリティに対する意識を高める必要性が全体的にあるようです。

皆さん、こんにちは。

業務コンサルタントの高橋です。

WordPressを使っているウェブサイトやブログサイトは、海外から管理画面に不正アクセスされるなどの被害が結構あります。そこで、このような対策をしておくと良いです。

WordPress管理画面へのログインを拒否

海外からWordPressの管理画面に不正アクセスされないよう、日本国内のIPアドレスのみを許可し、海外のIPアドレスを拒否する設定を『.htaccess』ファイルに記述します。

対象は、wp-login.phpファイルとwp-adminディレクトリ

wp-login.phpを日本国内のIPアドレスのみにする記述例として、

<files wp-login.php>

order deny,allow
deny from all

allow from 1.0.16.0/20
.
.
.
</files>

日本国内に配布されているIPアドレスのリストを全て記述しておき、WordPressが設置されているルートディレクトリに.htaccessファイルを設置します（wp-login.phpと同じ階層）。

また、wp-adminディレクトリ部分に関しては、

<files ***>
</files>

のファイル指定を除いた部分を記述した.htaccessファイルを設置しておきます。

日本国内のIPアドレスリストは、

http://ftp.apnic.net/stats/apnic/

https://www.nic.ad.jp/ja/ip/list.html

などから取得できます。

上記のような措置を施しておくことにより、日本国内のIPアドレス以外、つまり海外のIPアドレスからは管理画面にアクセスできないことになりますのでお勧めです

ただし、最近はホスティング会社側にてこういった対処をしてくれているホスティング会社もありますので、その場合はこういった記述は必要ありません。