レンタルサーバーの基礎知識

レンタルサーバーに必要なセキュリティまとめ

自身でサーバーを設置するのであればもちろんセキュリティもしっかりと導入すると思いますが、つい「レンタルサーバーは安心」と思ってセキュリティを度外視してレンタルサーバーを選んでいませんか?
法人や企業はもちろん、個人のサイトでも多大なる時間を使って作成してきたサイトがデータの改ざんなどされてしまってはすべてが水の泡となってしまうことも第三者に被害をもたらしてしまうこともあります。

そこでレンタルサーバーに必要なセキュリティ対策とセキュリティ対策がしっかりしているレンタルサーバーをまとめましたので、是非参考にしてみてください。

-目次-
1.過去のレンタルサーバーが受けた被害
2.レンタルサーバーに必要なセキュリティ対策
3.自分でおこなうセキュリティ対策
4.まとめ

1.過去のレンタルサーバーが受けた被害

まずはなぜセキュリティ対策が必要なのかという点から話していきます。セキュリティ対策が必要というのは少しでもインターネットに関わっている方ならご存知かと思いますが、実際にどんな被害が過去にあったから必要とまで利害している方はあまり多くないように思います。
まずはセキュリティ対策の前に国内のレンタルサーバーが受けた被害(ユーザーからしたら加害ですが)をまとめましたのでご覧ください。

ロリポップ!レンタルサーバー

大人気のレンタルサーバーであるロリポップも8,438件のサイトが被害を受けるデータの改ざん被害を2013年9月に受けています。
アプリの簡単インストールのパッケージに不備があったのと、サーバー側のディレクトリパーミッションの設定が不適切であったようです。
以下はロリポップのお知らせから引用した被害報告です。

今回の件におきましては、簡単インストールで配布していたパッケージの不備とサーバー側のディレクトリパーミッションの設定が不適切であったことにより、改ざんの被害が拡大いたしましたことを深くお詫び申し上げます。

■発生した事象
ロリポップ!のサーバー上にインストールされた WordPress を利用して作成された一部のユーザーサイトにおいて改ざんの被害が発生いたしました。改ざんの被害にあったサイトでは、下記のいずれかの事象が確認されております。
・ 今回の攻撃によるサイト改ざん内容の特徴
サイトタイトルに「Hacked by Krad Xin」が含まれている
サイトのキャッチコピーが「BD GREY HAT HACKERS」になっている
サイトが文字化けしている
・同様の改ざんを確認している対象件数
8,438件
※サービスに登録されている個人情報にアクセスされた形跡はなく情報の流出はございません。
■原因
・改ざんの原因
簡単インストールを利用して設置された WordPress においてインストールが完了していない WordPress が狙われ、WordPress の管理者権限を第三者に取得されたことで、サーバー上にサーバー構成上の不備を悪用するスクリプトが設置されました。また、wp-config.php のパーミッションが 644 だったことを利用して、設置されたスクリプトによりデータベースの接続情報の取得がおこなわれ、データベース上のデータの書き換えが可能な状態となっておりました。
・改ざんが拡大した原因
サーバー側のディレクトリパーミッションが不適切だったことと、FollowSymLinks の設定を有効にできる状態であったため、同一サーバー上のユーザー領域を辿り、他のユーザー様の wp-config.php の内容を参照し、データベースの更新を実行することで改ざんの被害が拡大しました。

引用:LOLIPOP!レンタルサーバー「第三者によるユーザーサイトの改ざん被害に関するご報告

アルファメール

大塚商会から提供されているアルファメールでは今年(2019年)1月にWordPress利用者経由でWebサーバーのOSの脆弱性をついた不正アクセス被害を受けています。
約5000件のサイトに不正なファイルの設置がされました。
以下はアルファメールのお知らせから引用した被害報告です。

【本事象のご報告】
1月23日に会員サイトでご報告いたしましたとおり、弊社提供サービス「アルファメール」におきまして、お客様ご利用のWebサーバーに対する外部からの不正アクセスが発生いたしました。本件に対する弊社での対処は完了しており、お客様ご利用環境への影響や、個人情報等の重要な情報流出は確認されておりません。
【本事象の発生経緯と対処】
アルファメールは、共有型サービスとしてWebサーバー上にお客様のホームページ領域を設け、ご提供しております。
本事象に対する弊社調査の結果、特定のお客様が設置したWordPress(※)のIDを踏み台にし、WebサーバーのOSの脆弱性をついた不正アクセス攻撃と判明いたしました。この攻撃により、他のお客様ご利用の領域にも不正なファイルが設置されましたが、攻撃の検知後に速やかに、弊社は踏み台となったIDを利用停止し、不正ファイルをすべて削除しました。この不正ファイルはいずれも静的なファイルであり、マルウエア等も検出されませんでした。なお、その他お客様のIDやパスワードが不正利用された形跡や、お客様管理のホームページコンテンツの改ざんは一切ないことも確認いたしました。
WebサーバーのOSの脆弱性に関しては、セキュリティインシデントであるため詳細の記載は控えさせていただきますが、脆弱性対策を含め、監視および検知のさらなる強化を継続実施してまいります。
(※)WordPress:ホームページ作成のフリーツールです。アルファメールでは、お客様ご自身がインストールしてご利用いただく形態となっております。

引用:アルファメール「お客様ご利用のWeb環境に対する不正アクセス発生のご報告

カゴヤジャパン

法人から人気で当サイトでもおすすめしているカゴヤジャパンは、2016年に不正アクセスによる大規模な契約情報流出が発生しています。
個人情報48,685件、クレジットカード情報20,809件と不正アクセス発生時に契約中、過去に契約していた顧客情報すべてが流出しました。
以下はカゴヤジャパンのお知らせから引用した被害報告です。

このたび、弊社がお客様に提供しております契約情報データベースサーバーに対し第三者による不正アクセスがあったことが発覚し、不正アクセスの全容解明ならびに被害状況の調査を進めてまいりました。
調査の結果、サーバーに保管していたお客様のクレジットカード情報を含む個人情報が不正アクセスにより外部に流出した可能性があることが判明いたしました(以下、「本件」といいます)。
本件の詳細につきましては、下記のとおりご報告いたしますとともに、 お客様ならびにご関係者の皆様に、多大なるご不安とご迷惑をお掛けいたしますこと、ここに深くお詫び申し上げます。

1.事案概要
(1)流出の対象期間:2015年4月1日~2016年9月21日
※脆弱性があった期間を想定
(2)原因・不正アクセスの手口
第三者の不正アクセスにより、OSコマンドインジェクション(※)の脆弱性を利用されて、DBサーバー内の情報を不正取得された。
(※)OSコマンドインジェクションとは、閲覧者からデータの入力や操作を受け付けるようなWEBサイトでプログラムに与えるパラメータにOSに対する命令文(コマンド)を紛れ込ませて不正に操作する攻撃のことです。
(3)流出の規模(疑いを含む)
①個人情報の件数:48,685件(人数)
②クレジットカード情報の件数:20,809件(カード番号の数)
※2016年9月21日までに弊社をご利用いただいた全てのお客様が対象となります。(すでに解約されたお客様を含みます。)
(4)流出した情報(疑いを含む)
①氏名(カード名義人名)
②住所
③電話番号
④メールアドレス
⑤ご契約アカウント名・パスワード
⑥クレジットカード番号
⑦有効期限

引用:カゴヤジャパン「不正アクセスによるお客様契約情報流出に関するお詫びとご報告

2.レンタルサーバーに必要なセキュリティ対策

ではレンタルサーバーを契約するときに確認しておきたいセキュリティ対策についてまとめていきます。
このあとの4つが基本となるセキュリティ対策ですが、企業や法人向けのレンタルサーバーではさらにセコムのセキュリティシステムを導入していることもあります。

ファイアーウォール

まずは基本中の基本となるファイアーウォールです。ファイアーウォールの設定されていない状態だと誰でもサーバー内にアクセスできる状況となっていますので、不正アクセスのリスクが非常に高くなってしまいます。
ただしファイアーウォールは通信の発信元と宛先でしか判断しないので、宅急便で例えると送り主と宛先のみで受け取るか拒否するかを決めているようなイメージです。

WAF(Webアプリケーションファイアーウォール)

WAF(ワフ)は、Webアプリケーションの脆弱性を悪用した攻撃からWebサイトを守るセキュリティ対策です。ユーザーとサーバーの間に設置することでサーバーまで到達することがないよう不正アクセスなどをブロックしています。
ECサイトなどのユーザーから入力があり、リクエストに応じてページを生成するアプリケーションを利用したサイトのセキュリティ対策に適しています。
このあと紹介する、IDSとITPでは対策できない攻撃を感知し防ぐことができます。

以前まではコスト面や技術面で導入が普及していなかったのですが、クラウド型WAFの登場で現在では手軽に導入することが可能になっています。

IDS/IPS

IDSとIPSはどちらも不正アクセスに対するセキュリティ対策システムです。
IDSはIntrusion Detection Systemの略で不正侵入検知システム、IPSはIntrusion Prevention Systemの略で不正侵入防止システムと呼ばれています。
名前の通りでIDSは不正アクセスを通知してくれるシステムで、IPSが不正アクセスをブロックするシステムです。

サーバーの運用上、直ちにブロックするのが好ましくない箇所と、直ちにブロックするべき箇所がありますのでIDSとIPSはそれぞれ適所に配置されています。

Web改ざん検知システム

ファイアーウォール・WAF・IDS/IPSが不正アクセスなどを事前に予防するシステムなのに対し、Web改ざん検知システムは不正アクセスされてしまった時の対処用のセキュリティ対策です。
万が一不正アクセスによりファイルなどが改ざんされた時に即時に通知が届くシステムで、改ざんに対して直ちに対処することができます。

3.自分でおこなうセキュリティ対策

先ほど紹介した4つのセキュリティ対策はサーバー側がおこなう対策でしたが、自分でおこなうセキュリティ対策もあります。
費用が掛かるものではありませんので、必ずおこなうようにしましょう。

SSL

セキュリティ対策の基本はサイトのSSL化です。SSL化とは通信を暗号化することで第三者に通信をのぞかれたとしてもその暗号を読み解くことができないようにするセキュリティシステムです。
使用するブラウザによってはSSL化されていないページでは警告が出されページを開くこともできないようになっています。ユーザーを逃さないためにもサイトのSSL化は必須と言えます。
一昔前までは有料のSSL証明書しか存在しませんでしたが、無料SSLのLet’s Encryptの登場でレンタルサーバー各社、無料で利用できるSSL証明書を提供するようになっています。

SSL化の設定方法はレンタルサーバーによって異なりますが、ほとんどのサーバーではコントロールパネル(サーバーパネル)内にSSLに関する項目がありますので、そこから設定ができます。ドメイン取得時にSSL化の設定ができる場合もありますが、自身で設定することがほとんどなので確実にSSL化設定はしておきましょう。

GoogleがSSL化を推奨する前まではSSL化されたページはアフィリエイトリンクが機能しない問題もあったのですが、現在では解決していますのでサイトをSSL化しないメリットは1つもありません。

SSL化についての詳しい解説はSSL証明書とは?無料と有料での違いも解説をご覧ください。

WordPressのセキュリティ対策

もう一つ自分でおこなう対策としてWordPressのセキュリティ対策が挙げられます。
とはいってもそんなに難しい設定は必要なく、アップデートをこまめにおこなうことや、セキュリティ対策用のプラグインを入れておく程度のことで問題ありません。おすすめのセキュリティ対策用プラグインはSiteGuardです。

4.まとめ

セキュリティ対策が進んでいくにつれ、こういった不正アクセスなどによる被害は少なくなってきてはいますがセキュリティ対策と不正アクセスの戦いは、いたちごっこでもあるのでこれからも完全になくなることはないかと思います。そういった被害が起きてしまったときに迅速で誠実な対応のできるレンタルサーバーを選びたいですね。

関連記事

  1. レンタルサーバーのメモリとは?役割と性能の差で何が起こるのか

  2. Data server network

    図解「VPS」とは?仕組みは?レンタルサーバーとは何が違うの?

  3. 図解「クラウドサーバー」とは?仕組みは?VPSとの違いは?

  4. 常時SSL化の必要性とは?メリット・デメリットとSSL化の手順

  5. 図解「レンタルサーバー」とは?何ができるのか&使い方の基本

  6. 図解「専用サーバー」とは?VPSやクラウド型との違いも解説

PAGE TOP