security_key普通の人だったら、パソコンのセキュリティ対策なんて「とりあえず何かセキュリティソフトをインストールしておけ」ってことなんですが、私のようにウェブサイトを運営していると、それだけではちょっと不安です。

 

 

ということで、今回は「素人なりのセキュリティ対策」について、私が集めた情報を紹介し、私が実践している内容を一部ご紹介したいと思います。

 

 

以下の内容は2013/09/25時点でのものなので、最新の脅威とその対処法についてはご自分でご確認下さい。また、筆者は専門家ではありませんので、以下の内容はあくまで参考程度にとどめてください。何らかの損害が生じた場合でも当サイトとしては責任を負いかねます。

 

 

インターネット上の”脅威”はどんなものがあるか?

一昔前までだったら、インターネットを通じて悪いことをする人は「自分の技術を誇示して楽しみたいだけのオタク・愉快犯」というイメージが支配的でした。

 

さすがに最近は報道などで周知され、こうした印象は後退して来ましたね。最近では「パソコンの中の個人情報を抜き取って、闇市場に流すなどして金銭を得る」という、利益目的の組織的な犯罪が増えてきました。

 

また、頻度としては稀なようですが「パソコンを遠隔操作して無実の罪を他人に着せる」という、非常に悪質な犯罪もありました。

 

black_marketちなみに、業界では経済犯や愉快犯その他も含めた「対策を要する悪いやつら」全般のことを「悪意ある攻撃者」と呼ぶ習慣が定着しているようです。

 

 

では「悪意ある攻撃」の手口には、どんなものがあるでしょうか。ざっとまとめてみました。

 

 

1:パソコンにインストールされているソフトの脆弱性(ぜいじゃくせい。セキュリティ上の欠陥・弱点のことをこう呼びます)を突いて、インターネット回線から直接侵入してくるパターン

 

2:何らかの方法でパソコンにウイルス等を仕込むパターン(ちなみに、最近ではウイルス等をまとめて「悪意あるソフトウェア」と呼ぶ習慣が業界に定着しています)

 

3:ウェブサイトの脆弱性を突いて侵入してくるパターン

 

 

このうち、2の「ウイルス等を仕込むパターン」は、以下のように手口が細分化しています。

 

2-1:メールの中にウイルスを仕込んでおき、開封すると感染する

2-2:ウェブサイトの中にウイルスを仕込んでおき、閲覧すると感染する

2-3:ウイルスを仕込んだソフトウェアを相手にダウンロードさせ、ソフトウェアを起動すると感染する

 

さらに、このうち2-2の「ウェブサイトにウイルスを仕込む」パターンについて付け加えると、まず3で赤の他人のウェブサイトに侵入した上で、他人様のウェブサイトにウイルスを仕込むという、合わせ技的な気味の悪い手口によるものがたびたび発生しています。

 

 

対策は?

guardianまず、この記事の最初にも説明したように、個人で普通にインターネットを使っている人なら「とりあえずセキュリティ対策ソフトをインストールしておけ」これに尽きます。

 

 

最近では無料でもそこそこの性能を持ったソフトもあるので「どうしてもお金が……」とか「更新料が……」とか「そもそも更新作業がめんどい」という人でも、こうした無料セキュリティ対策ソフトをインストールするのが「まだマシ」というものでしょう。

 

……正直、何も対策をしていない人とメールやらチャットやらをするのは、今でも怖いです><

 

ただ、業務用となると重要な情報を扱う場面も出てきますので、それ以外に心得ておかねばならない事項がいくらかありますね。

が、今回の記事の主題は「個人用にホームページを運営している人のセキュリティ対策」なので、今回はそこは省いていきます><

 

というわけで、個人が運営しているホームページのセキュリティリスクとその対策です。まず、個人運営サイトのセキュリティリスクは先に挙げた中で言うと

 

3:ウェブサイトの脆弱性を突いて侵入してくる(そして情報を盗み取る)

 

2-2:(3によって侵入してから)ウェブサイトにウイルスを仕込む

 

この二つですね。

 

web_sec_chart図にするとこういうところでしょうか。

 

というわけで、以下では「ウェブサイトに侵入して情報を盗む」犯行をA、「ウェブサイトに侵入してウイルスを埋め込む」犯行をBと呼んで区別し、それぞれ対策を考えていきましょう。

 

 

A「ウェブサイトに侵入して情報を盗む」に対する対策

まずA「ウェブサイトに侵入して情報を盗む」タイプの攻撃。

実を言うとこれ、企業などのウェブサイトにとっては非常に怖く、対策も決して簡単ではない攻撃なんですが、個人のウェブサイトなら話は簡単。

 

ずばり、そもそも「公表されて困る情報はウェブサイトに掲載しない・アップロードしない・保存しない」。これに尽きます。

 

インターネットに接続していさえすればいつでも誰でもアクセスできる場所に、公表されて困る情報を置いておくなら、それ相応のセキュリティ知識と対策が必要です。

 

thief正直な話、我々素人に、そうした知識を身につけと対策を打つことは無理ではないか、と思います。

 

であれば、ここはそもそも「公表されて困る情報はウェブサイトに掲載しない・アップロードしない・保存しない」これが一番無難です。

 

もちろん、TwitterやFacebookなどの大手サービスの公開制限機能を利用しているなら、多少は信頼できます。ですが、これも絶対ではありません。情報が流出した場合に取り返しのつかない事態にならないか、アップロードする前にちょっと考えた方がいいと言えるでしょう。

 

また、最近では、個人がWebサービスを始めるのも、技術的にも資本的にも、さほど難しいことではなくなりました。しかし、利用者から個人情報を預かるサービスの場合、セキュリティ対策を甘く見ない方がいいです。一度、流出が明るみになると大変なことになります。

セキュリティ方面の知識が不安なら、こうしたサービスを展開することは、最初から避けた方が無難かもしれません。

もっとも、このあたりもセキュリティ対策が充実した大手の「クレジットカード決済代行サービス」などが出てきていたりもしますけどね。

 

それから、最後に一つ注意点。ブログなどを利用した経験のある方には「予約投稿機能」についてはよくご存知だと思います。執筆した記事をすぐには公開せず、時間を指定して公開するものです。いろいろと便利な使い方ができますよね。

ところが、利用するブログやそれに準ずるソフト、あるいは予約投稿を利用する状況によっては、これが思わぬセキュリティ上の落とし穴になることがあります。

 

たとえば、諸々の事情から4月29日の午前零時ぴったりに公開したい記事があり、それ以前にこの記事が明るみになるとまずい、と仮定しましょう。

 

この場合、4月28日までに記事を執筆して、予約投稿機能を利用するかと思います。予約投稿で日時を設定すると、ブログ側に記事が保存されますが、トップページには時間が来るまで表示されません。

 

ところが! ブログのセキュリティ対策が甘いと、トップページには表示されなくても、未公開の記事にアクセスできてしまう場合があります。たとえば「URL直打」、つまりブログ記事のURLを直接アドレス欄に入力する方法です。

 

今ではさすがにそこまでずさんなサイトは見かけなくなりましたが、たとえば携帯の「プロフ」の時代には、非公開の記事でもアドレスバーに日付を打ち込むだけで閲覧できるという、いい加減なサイトが実在したそうです。特に「日付」というのは良くないですね。簡単に予測できてしまう上に、総当たり方式での侵入も人力で十分可能ですから。

 

 

また、ブログによっては、記事へのアクセスは無理でも、画像やPDFなど添付ファイルのアクセスはできてしまう、という落とし穴があったりもします。

 

pc_user以前、何かのニュースで聞いたのですが、資格試験か何かの解答が書かれたPDFを、担当者が試験日より前にアップロードしてしまったという不祥事がありました。

 

担当者はサイトから直接リンクを貼らなければバレないだろうと思っていたようですが、やはり「URL直打」によってアクセスされてしまい、大騒ぎになったという事件です。

 

というわけで、予約投稿機能の活用についても、十分に注意しましょう。予約時間前のアクセスをどう処理するのかにつて、ブログのセキュリティがどうなっているかを確認すると共に、セキュリティが駄目な時や、確認できない時には、予約投稿を利用せずに手動でその時間にアップロードする、という、ローテクな対策も検討する必要があります。

 

最低でも、誰でも容易にできてしまう「URL直打」だけは対策できるように、予約した記事や添付ファイルの名称を、予測されにくいものにするぐらいは、普段からやっておいて損はないでしょう。

 

また、予約投稿と同じで、公開してから「やっぱ引っ込めよう」と非公開にした記事・ファイルについても同じことが言えます。こちらの場合は既にURLも知られてしまっていますので、それ以上、閲覧・ダウンロードされると困る場合は、非公開設定にするだけにとどめず、データベース上から完全に削除するのが一番です。

 

 

B「ウェブサイトに侵入してウイルスを埋め込む」に対する対策

さて、Aの方はそもそも流出して欲しくない情報は載せないという、単純な対策で済みましたが、B「ウェブサイトに侵入してウイルスを埋め込む」攻撃に対する対策は、けっこう難儀です。

 

ウェブサイトは基本的に公開しなければ意味がないため、閲覧はできるが改ざんはできないようにしなければなりません。つまり、ウェブサイトのコントロール画面に攻撃者が侵入したりしないように。

もし改ざんされてしまい、あまつさえウイルスなど仕込まれた場合、直接運営者に責任がいくということはありませんが、ウェブサイトの信用ががた落ちしてしまうことは十分にあり得ます。

 

まあ、TwitterやFacebook、あるいは各社が提供しているブログサービスを利用する場合、改ざんされても大抵の場合はこれらのサービスを提供している会社の責任なので、さほど気にする必要はないかもしれません。ただし、当たり前ですが、IDとパスワードの流出には注意しましょう。

 

 

では対策ですが、まず、HTTPなどを使ってファイルを直接サーバーにアップロードする「昔ながらの形式」の場合、最大のリスクはサーバーにアクセスするためのIDとパスワードを盗まれることです。こうなると攻撃者はウェブサイトのファイルを自由に改ざんできてしまいます。

 

matrixサイト運営者の不手際でこうした事態が起こるケースとしては、やはり自分のPCがウイルスやスパイウェアに感染してIDとパスワードを盗まれてしまうケースが多いかと思われます。

 

そこで、普通のセキュリティ対策と同様、セキュリティ対策ソフトをインストールするのが、とりあえずできることですね。

 

 

また、日本ではまださほど多くないようですが、サーバーを借りてWordPressのようなブログソフトウェアやDrupalのようなCMSをインストールし、独自性の高いサイトを運営している場合。

 

この場合、ウェブサイトの基幹となる部分を世界中のあちこちの人が同じものを使っているということになります……どういうことかというと、これらのソフトのセキュリティが一度破られると、みんな破られてしまうということです。

 

実際、最近もWordPressを集中的に狙った大規模な攻撃が報道されたところです。

 

対策としては、これらのソフトはこまめに最新版にアップデートすることでしょう。

 

この他、素人でもできる細かい点をいくつか挙げておくと、不要なファイルはできるだけサーバーに置かないように心がけると、改ざんする側としてはやりにくく、またやられたとしてもすぐ気づくとは言われています。

 

可能なら関連する報道にも、常にアンテナを張っておくといいです。自分が使っているソフトやサービスが攻撃されていると聞いたら、適切に対応しましょう。

 

後は、これまたローテクで細かいことになってしまいますが……自分のサイトが改ざんされてないかどうか、こまめにチェックしましょう。

 

 

まとめ:当たり前のことが大事(と、言ってみれば綺麗にまとまるかな、なんて……

うーむ……

 

いま、読み返してみたんですが……当たり前のことしか言ってないですね(爆

 

ま、まあ最初から「素人ができる」という触れ込みで始まったんだから、これでいい……のかな……?

 

見出しにもありますが! 当たり前のことを当たり前にやるのがいいってことですよ! うん!

 

なお、初めにも書きましたが、これを書いているのも「ちょっと詳しい程度の素人」であり、専門家でもなんでもないので、参考にした結果なんらかの被害を被ったとしても、ちょっと責任はとれません。その点はご勘弁を……

 

では。