ORIST技術交流セミナー・ビジネスマッチングブログ(BMB)第37回勉強会報告 その①ファーストサーバ

去る7月25日(火)、関西大学梅田キャンパスにて開催された「ORIST技術交流セミナー・ビジネスマッチングブログ(BMB)第37回勉強会」は、BMBオフ会が始まって以来最大の137名の参加者を得て盛大に催されました。

非常に有意義な話でしたので、当日の内容を2回に分けて報告いたします。

KANDAI Me RISE

「レンタルサーバのセキュリティと今注目される常時SSL化対応について」

ファーストサーバ株式会社 営業部 小島 健司 氏

1.セキュリティーを強化しよう!

  セキュリティーが甘いとどうなるのか?

1.1 Wi-Fi接続の通信でプライバシー、個人情報が盗まれる

  • 街中、喫茶店、各種施設、セミナー会場などのWi-Fi接続できる場所で、悪意のある人に(ツールを使って)自分の見ているサイトなどの通信内容を傍受されてしまう。
     
  • 結果としてサービスを提供している店舗や施設の信頼性、検索エンジンや閲覧者から受けるサイト評価に将来的に影響してくると考えられる。

1.2 サイト運営に支障をきたす

  • セキュリティー対策が甘いとアカウントを盗まれやすく、アカウントを盗まれるとドメインが被害を受け、サービス提供がストップする。
     
  • ファーストサーバでも毎日数件、某サーバー会社では毎日数十件、改竄(かいざん)事件が発生しているのが現状。
     
  • 2010年以前は、いたずらやハッキングの技術を誇示するという動機の人が多かったが、2010年以降は、フィッシングサイト、出会い系スパム、詐欺やクレジットカードの番号を盗むなど、組織的で金目当ての犯罪が多い。
     
  • いくら複雑なパスワードを設定しても盗まれるほど、ハッカーの技術が上がっている。
     
  • アカウントを盗まれると、不正なサイトに誘導される怪しいプログラムを置かれ、フィッシング詐欺やスパムメールの温床にされる。
     
  • FTPのアカウントを盗まれると、サーバーにメール送信プログラムを置かれ、何十万通ものスパムメールを送られる被害が出る。
     
  • 一旦ブラックリスト(このドメイン、サーバーからのメールはもう受け付けない)に載ると解除に非常に時間がかかる。
     
  • Gメールでスパム認定されると解除申請が通るのに一・二週間はかかる。新しいサーバーを借り、一から設定し直してIPアドレスやDNSも変えてようやくメールを使えるようになる。
     
  • 単純に漏洩が原因の場合もあるが、複数のパスワードを持っていて覚えられないから、サイトのアカウントやメールのパスワードなど、全部一緒にしようと使い回す人が最近は多い。その場合、パスワードがばれると芋づる式に複数のサイトが被害を受けてしまう。
     
  • CMSなどを使っている場合は、プログラムの脆弱性対策やバージョンアップは必須。
     
  • 1回改竄を受けると2回目、3回目と狙われる、これをファーストサーバでは再犯率と呼んでいるが、再犯率は8割くらいの確率で発生している。

1.3 金銭的被害を受ける場合もある

  • 「自分が使ってるプログラムとパソコンが使えなくなり、何十万円を要求するようなメッセージがきた」というようなニュースを聞いたことがあると思う。元を辿れば、発注依頼書や見積書など、怪しくないメールに偽装されているスパムメールを開けてしまったためのウィルス感染というケースが後を絶たない。添付書類のファイルタイプやおかしな日本語の表現など、少しでも怪しいと感じたらメールを開けないこと。

1.4 ブラウザがエラーを出すようになる

  • ブラウザ側でSSL化(HTTPS)していないサイトは危険だとエラーを表示するようになってきている。
     
  • Chromeでは保護された通信とアドレスバーのところに警告が出る。Firefoxではアドレスバーの緑色の鍵マーク。
     
  • 最近は検索窓でも警告が出たりすることもあり、ブラウザがどんどん厳しくなっている。

ファーストサーバ株式会社 営業部 小島 健司

2.対策方法

2.1 HTTPS通信に切り替える

  • HTTPSにするとWi-Fiで傍受されるリスクが軽減できる。
     
  • さらに常時SSL化をすることでサイト全体に対する利用者の不安も軽減できる。

2.2 企業認証、またはEV認証を取得する

  • SSLサーバの証明書には、認証レベルによって「ドメイン認証」「企業認証」「EV認証」の3種類がある。
     
  • ドメイン認証はドメイン名の使用権のみを認証するものだが、既にある企業と類似のドメインを取ることも可能。フィッシング詐欺対策などは行われておらず、信頼性は低い。
     
  • 企業認証はクレジットカード番号や個人情報の入力が必要なECサイトには不可欠。費用はかかるが、組織の実在性を証明してくれる。信頼性は中レベル。
     
  • EV認証は企業の実在性に加えて所在地の認証を行う。さらに、ブラウザのアドレスバーがグリーンになり、フィッシングサイトとの差は一目瞭然。金融機関などは信頼性向上のためにEV証明書を取得している。

ファーストサーバ 小島さん

2.3 予算に応じて対策のレベルを選ぶ

  • 予算に応じて各SSLをかけるドメインを選び分けている会社が多い。会社概要などが掲載されているco.jpのサイトは有料のSSL化を選び、それ以外のサイト運営は無料のSSLで対応。
     
  • スパムメールの開封予防対策としては、全従業員のITリテラシーが高い会社ならば、メールの開封の仕方について徹底指導する。そうでない一般の会社の場合は、予算をとってウィルスメール対策サービスを導入するのが良い。

2.4 常時SSL化

  • SSL化とは簡単にいうと暗号化通信によって自分のサイトのhttpで始まるURLをhttpsで始まるようにすることである。常時SSL化とはサイトの全部のページをhttpsで始まるurlにすることである。

2.5 パスワードとアカウント名の管理を厳しくする

  • 不正アクセスする人は例えばユーザー名adminとか、パスワードにドメイン名とか、簡単なものから順に試している。アカウント情報(アカウント名、パスワード)は複雑なものにし、頻繁に別の文字列に変えるような管理を行うこと。

2.6 対策は報道を基準にしてはいけない

  • フィッシング詐欺やデータの改ざん、スパムメール被害等のニュースが報道されなくなると、不正アクセスは下火になったのかと思ってしまうが、不正行為は今もずっと続いている。セキュリティー対策は常に、そして予算や従業員のITリテラシーに応じて常時実施すべき。

2.7 その他

  • Googleのサイトでは、ハッキング対策やその修正方法などを説明するサイトを設置している。ユーザーを安全なサイトに連れて行くのがグーグルの役目なので、当然ハッキングに無防備なサイトには連れて行かないと書かれている。

ORISTセミナー&BMB第37回勉強会
 

3.対策の効果

  • (常時)SSL化するとWi-Fi接続の通信でプライバシーが保たれる。他人に覗かれる心配がなくなるので安心してサイトを利用できる。
     
  • Web制作者がクライアント企業に安全なページを提供することで、企業側もユーザーからの信頼を得られる。
     
  • 常時SSL化するとブラウザがエラーを出さなくなる。最終的にはSEO対策にもなる。

4.小島さんのまとめ

  • 今日のまとめですが、そろそろユーザーのことを考えてトップページから常時SSL化してください。予算など色々あるかと思いますが、個人の方、企業の方など立場に応じて選んでください。あとは、co.jpの会社概要のページなのか、商品のページなのか、サイトの目的によって証明書を選んでいただきたい。
     
  • サイトのセキュリティー対策は継続してください。報道やニュースが止んでも攻撃は続いているので、対策は報道に合わせてではなく、従業員のレベルとか、メールを使う使わないとか予算を色々検討して、ぜひこの機会にSSL化とセキュリティー強化を検討していただきたいと思います。