2014/02/01のメモw

最後の「番外編」の内容が書いてないのが気になるでしょ？
やっぱりこれは、自分の足で来てね♡ということよね（笑）

---

～本日の教訓・宿題～

• パスワードをすべて変えよう！
• 777.755はだめよ♡　ということで見直し～
• 共有サーバはWindowsサーバがなにやら一番だね
• お客さんには限定したフォルダだけを表示させる形にする（アクセス権限とかで）

～本日の感想～

やっぱり共有サーバはよろしくないのよね～
個人情報をDBに使うものは絶対に使いたくないね！

■ 本当にあった怖い不正アクセスのお話し

雑貨屋さんの話

リンク式のカードフォームでなかったためにおきましたと。 古いPliskをバージョンアップしなかったために脆弱性を狙いましたと。 PHPの改ざんをされていましたと。

アパレル屋さんの話

感染型の意味不明のソースがPHPが挿入されてしまい、重くなったてと。 共有サーバーだったから感染されたかなと。 １コのファイルに２Ｍもあったとw パーミッションの不備が原因 全PHPファイルを修正して、サーバーを移行することに。 移行先も共有サーバなのでいたような問題を抱えている

不正アクセスが発覚したら

• すぐにサイトを閉じる
• FTPやログインのパスワードを変更する！
• サーバの管理画面、制作会社、IPAなどへ報告する！
• 指示に従う。調査のために勝手にサイトを復旧させない
• サーバを移行しても解決しないこともあるよと。
• 困った時にはすぐにやっぱり大河内さん(笑)

不正アクセスのいろいろ

• Webサイトの改ざん
  • 脆弱性攻撃
  • 設定不備攻撃
• メールサーバ乗っ取り
  • 迷惑メールの不正中継。ものすごい所を攻撃してるのと損害賠償もの
  • メールサーバのパスワードは複雑にしましょー
  • メールサーバをORPリストを参照しているとスパム扱いされてしまう
  • ORPリスト参照を解除することもできる
• ＰＣからのウィルス感染
  • FTPパスを盗用するウィルスがあるよと
  • FTPソフトの脆弱性を利用される場合もあるよと
• 総当たり攻撃
• DoS(Denial of Service attack)
• F5連打攻撃でサーバーダウンしてる時に書き換えられたりとかがこわいねという話
• 上記のケースでクラウドを利用している場合はその分課金される！が、被害の証拠などだせば交渉次第でなんとかできるかも。
• ソーシャルハッキング ・フィッシング

他人事ではない！危険なポイント

• フリーのCGI
• 覚えやすいパスワード
• パーミッション
• 共有サーバー
  • PHPを使っている
  • http://blog.ohgaki.net/lamp-4
  • もちろん他の言語でも危険
• FTPのパスワード
  • SCP(←暗号化されるFTPソウト)がおすすめ。Windoesだと名前が違ってたような…でもまあ管理がずさんだとおなじ
• 古いバージョンのアプリケーション
  • セキュリティホールが放置されている可能性

今すぐできるセキュリティ対策

• パスワードを難しいのに変える！
  • 大文字小文字記号を入れるだけで随分違う
• パーミッションの確認
  • 777はダメ。書き込み、実行権限は最低限に！
• FTPをFTPSにする
  • 手軽に暗号化できる
• IPAのサイトを参考にする！

大丈夫？クラウドセキュリティ

• 銀行にお金を預けるようなもの
  • ISO/IEC 27001:2005などの主要な業界標準に準拠
• データを自分で持っているより安全かも
• でも管理方法が悪ければだめ
  • 特にIaaSは普通のレンサバとあまり変わらない

◆ 番外：消費税額計算の落とし穴