皆さん、こんにちは。

業務改善を行うIT・業務コンサルタント、高橋です。

冒頭に書いたマルウェアの踏み台にされている件ですが、これは中小企業での被害が目立っているという報告がありますので、今日はそのことについてお伝えします。

セキュリティ意識が低いユーザーは危険

米国のネットワークセキュリティ企業の分析では、古いWindows OSを使い続けたり、ウイルス対策ソフトを導入していなかったりした、セキュリティ意識の低いユーザーを標的にしているものが、数年にわたって毎月多く検出され続けています。

これが一番多いのは米国ですが、米国に次いで多いのは日本で、中小企業が所有するサーバの被害が目立つともされています。

これらの被害は現在のセキュリティツールで対処可能であるにも関わらず、古いWindows OSなどを使い続ける、セキュリティに対する意識の低さが被害を継続的に招いていると指摘されています。

実際問題、中小・零細企業、小規模事業者においてはそのような傾向が見受けられ、それに対する意識の低さもあれば、セキュリティ対策へのコストが捻出できない実状もあったりします。

しかしながら、サイバー攻撃などによる被害にあった場合、それ以上の損害が発生する可能性も高いことから、何とか一定以上のセキュリティ対策を行っていただきたいものです。

ちなみに、これらの被害は事業者だけではなく、個人ユーザーにおいてもセキュリティ意識の低いユーザーがターゲットになりやすいことも同様です。

皆さん、こんにちは。

業務改善を行うIT・業務コンサルタント、高橋です。

中小企業クラスの場合、取引先などとの兼ね合いの問題もあり、ある程度は情報セキュリティや個人情報保護といったことに無関心ではいられないようですが、零細企業、小規模事業者ともなると、情報セキュリティや個人情報保護といったことには非常に無関心であると感じます。

では、いったい何故そのような状態のままなのでしょうか？

どうせ何もない！という考え方

随分前の話しにはなりますが、士業の先生から驚くべき言葉を聞いたことがあります。

『小さなところなんてどうせ何もない。万が一それがあったとしても、大したお度が目はない。』

国家資格を所持した士業の先生ですら、こういった感じの方もおられます。

しかし、小さいから何も起きないわけではありません。

確かに、ターゲットとされやすいのは知名度のある大企業とは言えますが、問題が起きるのはターゲットとされた時ばかりではありません。

インターネット上に潜んでいるもの、メール経由で問題が起きるもの、踏み台とされるものなど、問題が起きてしまうケースは他にもたくさんあります。

そして、問題が起きてしまった場合、例えば個人情報が漏えいするようなことがあった場合にはどうなるのか？

個人情報取扱事業者としてペナルティを課せられることになります。

これは、5月に改正された個人情報保護法により、小規模事業者であっても適用されることになっています。

ただし、おそらく最初は改善命令という形に留まり、それにも違反した場合においては刑事罰ということになるでしょう。

※だからと言って、業務改善命令を受けた時に対処すれば良いということではありません。

しかし損害はこれだけではすみません。

顧客や取引先などからの信用を失うことになります。

このようなことにならないためにも、正しく認識し、最低限必要なことはモラルとして行うことが必要です。

皆さん、こんにちは。

業務改善を行うIT・業務コンサルタント、高橋です。

JPCERTコーディネーションセンター（JPCERT/CC）は昨日、DDoS攻撃の停止と引き換えに金銭を要求する脅迫メールを受け取った企業などの報告が複数出ていることを公表しました。

これは数ヵ月前にも類似のものがあり、JPCERT/CCでは注意喚起を行っています。

DDoS攻撃のおさらい

DoS攻撃とは、サーバの負荷や通信量を増加させ、サーバのサービスを低下させることを目的とした攻撃のことを言い、DDoS攻撃とは、DoS攻撃をさらに悪質化させ、攻撃元を分散させたもののことを言います。

この攻撃元を分散したDDoS攻撃は最も防御が難しい攻撃と言われており、今までに多くのサーバが被害にあっています。

DDoS攻撃への対応策

こういったDDoS攻撃は攻撃元が分散していることもあり、対策が講じにくいものではあります。

しかし、何も行わないわけにはいかなくなりますから、次にことを行ってみると良いです。

１．DDoS攻撃が発生した際の対応を再確認しておく

２．管理しているサーバやルータなどが踏み台とならないよう、適切な設定を行う

３．海外からのアクセスを拒否してしまう

　　ただし、これは日本国内向けだけをサービス対象としている場合に限ります。

４．同一IPからのアクセス回数を制限する

　　場合によっては拒否する

といった感じになります。

また、以前お伝えした通り、DDoS攻撃はIoT機器全体が踏み台にされる可能性があります。

これらを踏まえ、予めIoT機器に対して適切な設定を行っておかなければいけません。

意識の欠如がさらなる被害を生む、つまり他へ迷惑をかけることにもなります。

皆さん、こんにちは。

業務改善を行う業務コンサルタント、高橋です。

今日は、先々週にJPCERTより出された『Webサイト改ざんに関する注意喚起』に関してです。

Webサイト改ざんに関する概要

JPCERTでは、Webサーバに不正なファイルを設置することで、アクセス回数や閲覧者などWebサイトの利用状況等についての調査活動を行う目的で、国内の複数のWebサイトを改ざんしているという情報を得ているようで、具体的には以下ことを行っているようです。

・Webサーバに不正なファイルindex_old.phpを設置し、Webサイトのトップページに不正なファイルを読み込ませる処理を追加する

<script type=”text/javascript” src=”.index_old.php”></script>

・利用者がWebサイトを閲覧すると、上記不正ファイルが実行され、閲覧者のIPアドレス、閲覧日時等がログとして記録される

この調査活動は、Webサイトの利用状況等の調査のほか、水飲み場型攻撃などサイバー攻撃の踏み台としての悪用可否を確認していると見られるとのこと。

Webサイトの管理者は、管理しているWebサイトのコンテンツが改ざんされていないかを確認し、必要な対策を施すことを促しています。

Webサイト改ざんに関する対策

具体的な対策に関しては、以下のことが紹介されています。

・Webサーバで使用しているOSやソフトウェアのセキュリティアップデートを実施する

・20,21/TCP（FTP）ポート、23/TCP（TELNET）ポートを無効化し、SSHなどのセキュアなプロトコルにてWebサイトのメンテナンスを実施する

・Webサイトのコンテンツ更新を運用で使用する特定のPC（IPアドレス）からのみ実施出来るように制限する

・Webサイト更新用のアカウント（SSH/CMS等）のパスワードを強固なものに変更する

・Webサイトのコンテンツのバックアップを取得し、差分確認を定期的に実施する

どれも基本的なことではありますが、Webサイト改ざんをされないためにも今一度見直しをしてみてください。

今日は、その原因が判明しましたのでそれをお伝えします。

皆さん、こんにちは。

業務改善を行う業務コンサルタント、高橋です。

先週ご紹介した共有型レンタルサーバにおける問題の原因が判明しました。

原因はこれです。

WordPressの旧バージョンが狙われた

お客様が契約されている共有型レンタルサーバと同じサーバを契約していた他のユーザーが設置しているWordPressのバージョンがかなり古いバージョンであったため、それに潜在する脆弱性が突かれた、結果サイト内のファイルの改ざんやスパムメールの発信等の機能を備えた不正なファイルが設置されていたことが原因でした。

これによって何らかのスパムメールが配信されてしまい、SPAMHAUSプロジェクトとCBLのデータベースにブラックリスト入りしてしまったものと判明しました。

CBLの説明によると、この感染によって『ボットネット参加している』とされており、昨今急増している『踏み台』にされた可能性があると思われます。

WordPressは常に最新を保て

WordPressなどのCMSは定期的にバージョンアップを行っており、その中には脆弱性に対する修正も当然含まれています。

そのため、ターゲットとならないためには最新の状態を保つことでその確率を減少させることが必要となるのです。

もちろん、これらの本体プログラムのバージョンアップだけではなく、プラグインもそれに伴ってバージョンアップが行われますので、どちらも最新を保たなければいけません。

バージョンアップが困難なもの

しかし、中にはバージョンアップをするのが困難なものもあります。

困難と言っても、できないわけではありません。

カスタマイズの仕方によってはバージョンアップをすることで表示が崩れてしまうものや、プラグインとの兼ね合いで表示が崩れてしまうといったものもあり、それらを改修するにはコストが少々高額になってしまうケースがあります。

そういった意味で簡単にはバージョンアップできないものもあるということです。

このような場合、レンタルサーバのオプションなどでWAF（ウェブ・アプリケーション・ファイアウォール）が使えるのであればそれを利用するのも1つの手です。

ただし、これは簡単にバージョンアップできないような、やむを得ない場合に限っての措置と考えた方が良いでしょう。

WAFが設置されていれば問題は起きないというわけではありません。

あくまでも確率を多少減少させるといったことになりますので、できることならばバージョンアップすることの方が良いです。

やはり、もっとセキュリティに対する意識を高める必要性が全体的にあるようです。

1つは、『うちの様な小さな会社は攻撃するメリットがないから何も起きないよ。』という返事で、もう1つは、『うちの会社は情報セキュリティ対策はバッチリだよ。』という返事です。

皆さん、こんにちは。

業務改善を行う業務コンサルタント、高橋です。

冒頭にお書きした経営者の返答はあなたならどのように思われますか？

この認識、どちらも非常に危険な認識です。

中小企業は踏み台にされる

まず、前者の認識に対する危険性ですが、知名度がさほどない中小企業はハッカーの攻撃対象とはならないという認識を捨てる必要性があります。

どのような企業規模であれ攻撃対象になり得るという認識を持ってください。

ハッカーは中小企業に何もしないわけではありません。

最終的なターゲットにたどり着く前の踏み台として中小企業を狙います。

ハッカーの目的がその中小企業そのものではなくても、その中小企業にはハッカーがターゲットにしている取引先情報が豊富に存在していることにあります。

情報セキュリティの落とし穴

次に後者に対してですが、ご存知の通り、情報セキュリティ対策に結構なコストをかけて投資している全国的に知名度のある組織であっても問題は起きています。

また、情報セキュリティ対策にも『バッチリ』といったパーフェクトなものなど存在しません。

あくまでもリスクを軽減するという確率論的な問題です。

こういった認識の持ち主に限って思わぬところに対策漏れがあり、そこから大きな事故につながってしまうこともあります。

まずは経営者が正しい認識を持ち、情報セキュリティに対して経営者主導で対策を行うようにするということを考えてみて下さい。