Web マスター向け Tips

Vol.17 マルウェアの容赦ない悪意 パート 4

ウェブマスターのコンピューティング環境のセキュリティ強化について、すっかりオタクモードでおすすめを書いてきました。そのため、1回のブログでは書ききれなくなってしまい、2回に分けなければならなくなりましたので、マルウェアに関するこの長い連載を、おすすめのセキュリティ対策の後編で締めくくりたいと思います。

マルウェアに関する連載の パート1 ではBingのWebmaster Center のようなツールを使って、サイトのマルウェア感染を検知する方法について説明しました。 パート2 では、ウェブサイトに影響を及ぼすマルウェアコードの種類と場所の特定について、サイトからの駆除方法を含め、リソースと戦略について網羅しました。 パート3 では、あなたのワークステーションとウェブサーバーを二度と感染させないように安全に守る方法について10の提案をしてきました(最初の5つは終了です!)。そして今日のパート4では、その10の提案を終わらせ、マルウェア駆除したばかりのあなたのサイトのBingインデックスから、やっかいなマルウェア警告メッセージを取り除くにはどうすれば良いかの情報も提供します。

おすすめの続き

マルウェアを駆除することは、戦いのほんの一部でしかありません。セキュリティ対策を厳格にして、二度と感染しないようにすることも重要です。 前回のブログ からスタートしたセキュリティ戦略の提案を引き続きご紹介していきましょう。

6. Microsoft Updateを作動させる

最新のMicrosoft Windowsオペレーティングシステムを使っていると仮定してこの提案をしています。ウェブサイトの作業を行うために使っているWindowsベースのコンピューターそれぞれに、定期的に Microsoft Update を走らせます。その際Custom(カスタム)をクリックして、High Priority(高速) のみでなく、あなたのコンピューターで利用可能なアップデートの全リストを見るようにします。常に最新のHigh Priorityアップデートを把握して、その他のアップデートも適用することを強く検討します。

毎月第二火曜日は一般にMicrosoft Updateの「Patch Tuesday」と呼ばれています。その日は、あなたのウェブサーバーインフラのすべてのWindowsベースのシステムが、必要なセキュリティアップデートを受けているか確認する作業に充てます。マイクロソフトは必要に応じて、その日よりも早く、プライオリティの高いセキュリティアップデートを提供することもありますので、これらが提供されたら、そのリリースには注意を払うようにしてください。 Microsoft Technical Security Notifications を受信するために登録しておくのは役立ちます!

7. マイクロソフト以外のアプリケーションもアップデートする

インターネットに繋がるアプリケーションは、少なくとも、ウェブブラウザーやオペレーティングシステムと同じくらいのセキュリティホールの危険にさらされています。有名ソフトウェアメーカーの中には、Microsoft Updateに似たオンラインアップデートシステムをアプリケーションに内蔵させているところもありますが、すべてがその機能を持っているわけではありませんし、すべてが自動でアップデートを行うわけではありません。ソフトウェアアップデートツールを使ってワークステーションのアプリケーションにやっかいなセキュリティホールがないかどうかをスキャンし、きちんと塞いでおくことは大切です。私のお気に入りは Secunia Software Inspector ツール (商用利用のライセンス要件をチェックしてください。多くのユーザーに無償のものです)ですが、他にもたくさんの選択肢があります。あなたが使っているウェブアプリケーションがそのプロセスでチェックされるようにしてください。結論として、ウェブサイトに関連するすべてのコンピューターの、あらゆるソフトウェアのアップデートを定期的にチェックして、インストールする必要があるということです。

ソフトウェアメーカーは、自社製品に欠陥やセキュリティホールを発見すると、アップデートをリリースしているということを忘れないでください。ハッカーコミュニティは、決まってこれらのパッチを研究し、アップデートをどう悪用できるかを学んでいるのです。最新のソフトウェアアップデートを適用していないと、あなたのコンピューターはリバースエンジニアリングを悪用した攻撃対象になってしまいます。

8. ワイヤレスセキュリティを強化する

最近の多くのコンピューター、特にラップトップは、ワイヤレスでインターネットに接続します。セキュリティ意識の高いITショップを持つ大組織で働いている人なら(あなたが働いている間は)おそらく大丈夫でしょう。しかし小さなショップやホームユーザーの多くは、新しいWi-Fiルーターを例外なくデフォルト設定でインストールします。ハッカーは、過去10年間にわたって非常に効果的なワイヤレスセキュリティクラッキングツールを開発しており、そのパラノイアぶりは、ITセキュリティの関係者にとって、もはや非理性的とか妄想では片付けられません(でもアルミ帽を脱いだら電磁波にやられてしまうような人たちですが)。

ワイヤレスネットワークルーターのセキュリティを強化するためにできることがいくつかあります。古いルーターのマニュアルを見つけ出して、以下のすべてのやり方を学んでください。

  • デバイスのファームウェアを更新します。ルーターメーカーのウェブサイトに行き、そのモデルのダウンロードを探し(通常、サイトのサポートのセクションにあります)、最新のファームウェアのリリースを持っているかどうかを確認します。もしそうでなければ、それをダウンロードしてインストールしてください。新しい機能を得ることができるかもしれませんし、セキュリティホールが解決したことを知るかもしれません。いずれにしても必ず調べましょう。ルーターメーカーがそれを提供している理由がわかるはずです!
  • 管理者用パスワードをメーカーのデフォルトから変更します( Create strong passwords のヒントを参考に!)。ハッカーは普通、様々なルーターのデフォルト管理者用パスワードを知っています。デフォルトのままにしていると、管理者用パスワード自体を無効にしているのも同然です。
  • ネットワークの Service Set Identifier (SSID) をデフォルトのフレンドリーな名前から、あなた自身が選択する名前に変えます。それが済んだら、SSID broadcastを不可にして、ワイヤレスネットワークが隠れるようにします。それが見えなければ、ワイヤレスネットワークをクラックするのはより難しくなります。その名前を知らなければなおさらです。
  • MAC(メディアアクセス制御)アドレスによる認証 ンピューターとデバイスのみがネットワークにアクセスできるようにします。その他はすべて、アクセス拒否にします。
  • 最もセキュアな接続のために、 Advanced Encryption Standard (AES) 暗号化 と共に、 Wi-Fi Protected Access バージョン2(WPA2) セキュリティを選んで使います。Wired Equivalent Privacy(WEP)やTemporal Key Integrity Protocol(TKIP)暗号化を使うWPA は忘れてください。最新のワイヤレスセキュリティクラッキングツールは、最長のキーであっても、これらの暗号化を数分で解析してしまいます。
  • SPI等( 前回のブログ のヒント3で紹介)の最新のルーティング機能を有効化します。あなたのワイヤレアスルーターがSPIに対応していなければ、おそらく旧式の技術を使っているので、新しく、よりセキュアなWi-Fiルーターを購入する時期かもしれません。

この変更だけでワイヤレスセキュリティを十分にアップグレードできるわけではありませんが、この積み重ねがワイヤレスネットワークをよりクラックされにくいものにします。あなたが、豊富なテクニカルリソースと、特定のセキュアなネットワークをクラックするためにありあまる時間をもった、非常に意思の固いハッカーと対峙しているのでなければ、このWi-Fi世界の、より甘いターゲットに移っていくでしょう。

9. ウェブサイトの設定ファイルを保護する

ウェブサイトやウェブアプリケーションのセンシティブな設定ファイルが、不正な外部ユーザーからアクセスされないようにします。通常はアクセスできないディレクトリに置き、ウェブサーバーでディレクトリの閲覧を不可にします。具体的なやり方についてはウェブサーバーの資料を参照してください。また、 IISApache といったウェブサーバーを、攻撃から守る方法について他に調べてみることもおすすめします。

10. ユーザーインプットのデータ妥当性を検証する

あなたのウェブサイトがユーザーインプットを受け付ける場合、それを処理したり、ユーザー向けに表示する前に、その妥当性を検証します。たとえば、ユーザーの名前とパスワードを受け付けるログインフォームを持っていれば、データベースに対するチェックをします。そのインプットに意図しない、または不正な文字がなく、データベースの不正操作につながることがないか確認します。また、ユーザーインプットが受け付けられ、表示される場合(フォーラムなど)、ユーザーがウェブページのソースコードを修正できないことを確認します。たとえば、<iframe> HTMLコードを走らせるスクリプトの追加等です。

また、バックエンドシステムからのインプットの妥当性が検証されているか確認します。これによって、たとえ攻撃者がデータベースのようなバックエンドシステムに侵入できたとしても、ウェブサイトのユーザーは保護されます。類似のウェブサイトの攻撃についての詳細は、クロスサイトスクリプティング(XSS)をご覧ください。

ボーナス:クリーンなウェブコンテンツをバックアップする

サイトのコンテンツとソースコードがクリーンなことを確認したら、必ず バックアップ しておきましょう! 災害復旧 は何も火事、洪水、地震に限りません。突然の大規模なマルウェア感染も、ビジネスを停止させる危険性という意味では高いランクにあります。ですから、あなたの仕事、サイト、ビジネス、お客様を守るためにも、クリーンなコードを適切かつ機能的にバックアップする必要があるのです。

サーバーを守るためのさらなる情報

超セキュアであるために、サーバーを最初から再構築することも検討しましょう。単純に以前と同じように再構築するのではありません。その状態でハックされたことを忘れずに! 冒頭で述べた強固な対策をすべて講じます。また、サーバーのサービスをオンラインに戻す前に、すべての許可設定を何度もチェックします。ハックされたサーバーの対応に関する詳細は、 What to Do If Your Website Has Been Hacked by Phishersをチェックしてください。

Bingマルウェア警告削除のリクエスト

マルウェアの感染を解決し、コンピューターを攻撃される原因となったセキュリティの脆弱性をなくし、クリーンにしたソースコードをウェブサーバーにアップしたら、もうひとつやらなければならない仕事があります。それは、Bingにウェブサイトのマルウェア判定を再度見直してもらうように依頼することです。

  1. 1. Bing のサポートフォーム を開きます。
  2. 2.Windows Bing Support ウェブフォームの所定の欄に氏名とメールアドレスを入力します。
  3. 3.サービス内の Bing ドロップダウンリストでは、 My Site has a malware warning を選びます。
  4. 4.その下に新たに表示されるドロップダウンリストでは、あなたの具体的な状況に一番合った選択肢を選びます(この場合は The malware has been removed でしょう)。
  5. 5.サポートチームがリクエストに応えられるように、できるだけ詳しくコメント欄に記入して、フォームの残りを完成させます。完成したら、セキュリティ画像に現れる文字を入力し、 Submit をクリックします。

この手続きに従ってBingはあなたのウェブサイトを再スキャンし、マルウェアが駆除されていることを確認します。それが確認されれば、あなたのコンテンツは再び通常の検索結果に含まれます。その後は、BingのWebmaster CenterのCrawl Issuesツールでサイトのマルウェアの状況を継続的に監視し、新しい問題が発生していないか常に把握しておきましょう。

それではまた・・・。

-- Rick DeJarnette, Bing Webmaster Center