「セキュリティ」カテゴリーアーカイブ

エックスサーバーは他社で購入したSSL証明書の「持ち込み」「持ち出し」に対応していないので注意

サッスー
管理人サッスー

エックスサーバーは他社で購入したSSL証明書の「持ち込み」「持ち出し」に対応していないので注意が必要だ。

公式サイトにもハッキリ書いてある。

https://www.xserver.ne.jp/support/faq/faq_service_ssl.php

たまに他社でSSL証明書を購入し、

→エックスサーバーへ移転

→SSL証明書が持込みできずに無駄になる

という人がいるが気を付けよう。

続きを読む エックスサーバーは他社で購入したSSL証明書の「持ち込み」「持ち出し」に対応していないので注意

いま不正アクセスが注目される理由

サッスー
管理人サッスー

実害が出始めたのがきっかけ(個人情報保護法の施行は関係なかった)

おそらく誰もがそうだと思うが、実害が出て初めて真面目に考える(笑)

もちろんサッスーもそうなんだけど、実際に被害に遭って初めて「へ~。不正アクセスって本当にあるんだ」と気が付く。

本当は「不正アクセス禁止法」が成立した1999年から対応するのが当然なんだけど、なかなかそうはいかない。

中には法律が施行される以前からすでに対策せいているというスーパーマン的なエンジニアもいるかもしれないけど、そんなのは実際にはいない(笑)

これだけ不正アクセスに対する注目が集っている理由は、実害が出ているからだろう。

例えば、ベネッセは顧客に一律500円のQUOカードを配ったが、数人レベルではなく数百万人レベルだったと思うので結構な損害が出たと思う。

だから多分ベネッセは一生懸命にセキュリティ対策を取っているだろう。

残念なことだけど、個人情報漏洩が原因で損害が出て初めて本気でセキュリティ対策に取り組む企業が多いはずだ。

今でもサーバ構築時のパスワードが「testtest」とか「password」とか、アメリカだと「pizza」とか「cheese_pizza」とかで、そのまま実運用に入る企業もあると思う。

 

続きを読む いま不正アクセスが注目される理由

不正アクセスが増えている

サッスー
管理人サッスー

 

最近サッスーがインフラエンジニアとして仕事をしている環境で不正アクセスが増えている。

 

WS000820

 

仮にホームページやサイトが乗っ取られたり、個人情報をごっそり持っていかれて、クレジットカードの不正使用で発覚してから、初めて不正アクセスに気づくなんてパターンが一番最悪であるが、実際によく聞く話だ。

 

 

提供しているサービスに不正アクセス事件が発生したら、昼夜を問わず対応をしなければならないし、企業やサイトの信用は落ち、金銭的な損害も出る。

 

 

個人情報保護法の施行や、関係省庁からのガイドラインで厳しくなってきているし、今は世界中からアクセスがある。

 

サッスーが実際に経験した不正アクセスの現場

 

以前インフラエンジニアとして対応したところは、中国からの不正アクセスや攻撃が凄かった。

 

中国のIPを全ブロックすると監視ツールZabbixで見た負荷のグラフが一気にゼロになって笑ったことがある。

しかし、その次の瞬間プロキシ経由で中国からと思われる攻撃が1秒間に数百万とか数億レベルで行われるのを見て、誰がこの攻撃を指揮しているのかいろいろ想像したこともある。(あまりにも組織的過ぎたから)

 

世界中の悪意のある人間がインターネットを使っているし(特に悪意のある人・組織ほどスキルも高い)、不正アクセス対策もせずにサーバやWebアプリケーションを放っておくとかなりのリスクがある。

 

続きを読む 不正アクセスが増えている

スパイウェアとは何か?【最近のサッスーの事例より】

最近のサッスーの事例であったね。

「スパイウェア」に感染した事例が。

 

パソコンにスパイウェアがインストールされ、情報が外部に出て行った形跡に気が付いた。

ただ、スパイウェアにやられたユーザーは全く気がつかないのである。

 

security-265130_640

 

気が付くのは、FW(ファイアウォール)のログにおかしな兆候が出ていたり、内部にしかない情報が外部で使われているとか。

 

スパイウェアに気が付くのは難しいよね。

気が付くのも難しいし、何をされたのか正確に調べるのも難しい。

結局後手後手に回ってしまう。

 

続きを読む スパイウェアとは何か?【最近のサッスーの事例より】