セキュリティと不正アクセス|EC-CUBE勉強会vol.11

2019/02/23

2014/02/01のメモw

最後の「番外編」の内容が書いてないのが気になるでしょ?
やっぱりこれは、自分の足で来てね♡ということよね(笑)


~本日の教訓・宿題~

  • パスワードをすべて変えよう!
  • 777.755はだめよ♡ ということで見直し~
  • 共有サーバはWindowsサーバがなにやら一番だね
  • お客さんには限定したフォルダだけを表示させる形にする(アクセス権限とかで)

~本日の感想~

やっぱり共有サーバはよろしくないのよね~
個人情報をDBに使うものは絶対に使いたくないね!

■ 本当にあった怖い不正アクセスのお話し

雑貨屋さんの話

リンク式のカードフォームでなかったためにおきましたと。 古いPliskをバージョンアップしなかったために脆弱性を狙いましたと。 PHPの改ざんをされていましたと。

アパレル屋さんの話

感染型の意味不明のソースがPHPが挿入されてしまい、重くなったてと。 共有サーバーだったから感染されたかなと。 1コのファイルに2Mもあったとw パーミッションの不備が原因 全PHPファイルを修正して、サーバーを移行することに。 移行先も共有サーバなのでいたような問題を抱えている

不正アクセスが発覚したら

  • すぐにサイトを閉じる
  • FTPやログインのパスワードを変更する!
  • サーバの管理画面、制作会社、IPAなどへ報告する!
  • 指示に従う。調査のために勝手にサイトを復旧させない
  • サーバを移行しても解決しないこともあるよと。
  • 困った時にはすぐにやっぱり大河内さん(笑)

不正アクセスのいろいろ

  • Webサイトの改ざん
    • 脆弱性攻撃
    • 設定不備攻撃
  • メールサーバ乗っ取り
    • 迷惑メールの不正中継。ものすごい所を攻撃してるのと損害賠償もの
    • メールサーバのパスワードは複雑にしましょー
    • メールサーバをORPリストを参照しているとスパム扱いされてしまう
    • ORPリスト参照を解除することもできる
  • PCからのウィルス感染
    • FTPパスを盗用するウィルスがあるよと
    • FTPソフトの脆弱性を利用される場合もあるよと
  • 総当たり攻撃
  • DoS(Denial of Service attack)
  • F5連打攻撃でサーバーダウンしてる時に書き換えられたりとかがこわいねという話
  • 上記のケースでクラウドを利用している場合はその分課金される!が、被害の証拠などだせば交渉次第でなんとかできるかも。
  • ソーシャルハッキング ・フィッシング

他人事ではない!危険なポイント

  • フリーのCGI
  • 覚えやすいパスワード
  • パーミッション
  • 共有サーバー
    • PHPを使っている
    • http://blog.ohgaki.net/lamp-4
    • もちろん他の言語でも危険
  • FTPのパスワード
    • SCP(←暗号化されるFTPソウト)がおすすめ。Windoesだと名前が違ってたような…でもまあ管理がずさんだとおなじ
  • 古いバージョンのアプリケーション
    • セキュリティホールが放置されている可能性

今すぐできるセキュリティ対策

  • パスワードを難しいのに変える!
    • 大文字小文字記号を入れるだけで随分違う
  • パーミッションの確認
    • 777はダメ。書き込み、実行権限は最低限に!
  • FTPをFTPSにする
    • 手軽に暗号化できる
  • IPAのサイトを参考にする!

大丈夫?クラウドセキュリティ

  • 銀行にお金を預けるようなもの
    • ISO/IEC 27001:2005などの主要な業界標準に準拠
  • データを自分で持っているより安全かも
  • でも管理方法が悪ければだめ
    • 特にIaaSは普通のレンサバとあまり変わらない

◆ 番外:消費税額計算の落とし穴