メルです。
先程、高速ゲーム せどり やしろ塾 について書いた記事で
セキュリティに関する事が出ましたので追記です。
これから書く事は、どこか遠い世界で起こっていることではなく、
現在では誰もが、いつ被害にあっても不思議ではない状況です。
インターネットに接続していると言う事は、
世界中の人とネットワークで繋がっていると言う事です。
繋がっていると言う事は、どんなにがんばっても不正に人の
パソコンやサーバーに進入する事を止められない事を意味します。
はい、実は
100%進入を止める事は不可能
なのです。
ただ、進入されることを100%止める事は出来ないが、
その敷居を高くしてやることで事実上進入する事が出来ないようします。
その為のセキュリティです。
セキュリティと言うのは、これだけやったら安心と言うのはなく、
どれだけ策を講じても心配なものなのです。
その証拠にWindowsだって年中セキュリティを更新しますよね?
オープンソースブログシステムのWordPressだってバージョンアップを
繰り返していますが、セキュリティの更新もそれに含まれます。
一般ユーザーであっても、
明日は我が身 にならないように必要最低限の知識だけは持っておくべきです。
最近流行のサーバー乗っ取り
最近、高速ゲームせどりやしろ塾の販売ページのように、
サーバーに不正侵入され、一部を書き換えられる事例が
非常に増えています。
サーバー内に無数のJavaで書かれたウイルスファイルが
置かれていたり、海外サイトに自動転送される記述が
追加されていたりします。
当然そういったサイトに訪問した人は、
なんらかのウイルスに感染したり、パソコンの調子がおかしくなったり、
スパムメールの踏み台にされたり、フィッシング詐欺にあったりもします。
ですのでサイト管理者と言うのは、
常にサーバーに異常がないか、見張っている必要があります。
感染してしまう事はある意味、仕方のない事なのですが、
発見したら即座に修正し、被害を最小限にする必要があります。
いつまでも放置しておくなんて、無責任ですし、
何よりも信用をなくしてしまいます。
ところが情報業界を見ていると、
放置しているサイト管理者が非常に多いです。
やしろ塾もそうですが、そういったサイトをたくさん見かけます。
ネットビジネスの高額塾を開いて、たくさんの人に教える立場の人が
ネットビジネスの基本中の基本である最低限のセキュリティすら
知らない訳なんですね。
マーケティングの観点から見てもお話になってないです。
私はまともなネットビジネス業界にいますので、
情報業界の販売者はネットビジネスの素人しかいないように思えます。
進入方法
いろんなケースがありますが、よくあるパターンを2つほど。
1.アカウント情報を入手し、直接進入して書き換える
2.WordPressなどのオープンソースの脆弱性を突き、ファイルを植えつける
1.アカウント情報を入手し、直接進入して書き換える
アカウントを乗っ取り、直接FTPにログインして書き換える。
ネットバンク、Twitter,Facebookなどのアカウント情報を
奪取し悪用するケースも。
乗っ取る方法は主に以下の通りです。
フィッシング詐欺
悪意を持った攻撃者が本物のログイン・ページと見間違えるような
ページを用意し、
電子メールやメッセンジャーなどで標的に
偽装ページのURLを教え、パスワードの
入力を促し、
アカウント情報を抜き取る。
これは、IDやパスワードを入力する時にURLが正しいか、
httpsで保護されているかを確認する癖をつければ防止できます。
マルウェアによるパスワード奪取
トロイの木馬で、電子メールでスクリーンセーバーのフリをした
マルウェアを送りつける手口があります。
PCが支配下におかれると、そのPCで入力した全てのパスワードは
奪取されると思って下さい。
電子メールソフトのセキュリティー・ホールをついて、
自動でマルウェアが実行されるとお手上げ状態に。
2011年に三菱重工サイバー攻撃や、
金融機関を名乗って送りつけてきたCD-Rにマルウェアが
入っていたなんてケースも。
自分から要望していないソフトや、メールの添付ファイルには
十分気を付ける必要があります。
パスワードの使い回し
私も意外とやっちゃってますが、
複数のサイトで同じアカウント名やパスワードを使用するのは危険です。
最近のニュースで話題になった
YahooやGooなど、大手ポータルサイトの個人情報流出事件。
ここで流出したアカウント名やパスワードは
総当り的にあちこちでアタックされますので、
同じ物を使っていれば当然乗っ取りに会います。
メールからの漏洩
メールにアカウント情報を書いて送信するのは危険です。
メールは傍受しようと思えば、誰でも比較的簡単に出来てしまいます。
メールを暗号化して送受信する設定にするのも対抗策にはなりますが
基本的には書かないほうが良いです。
WordPressなどのオープンソースの脆弱性を突き、ファイルを植えつける
これは結構多いです。
私のクライアントだけでも年に数度は食らっています。
これはオープンソース全般に言えることなのですが、
当サイトの場合、私のおすすめしている賢威ユーザーが多いので
WordPressを例にとって説明します。
WordPressが書き換えるための.htaccessのパーミッション
WordPressの場合、パーマリンクの設定などを効率化するために
WordPressが.htaccessを書き換えるのですが、これをする為には
.htaccessのパーミッションに書き換え権限を与えなければなりません。
大抵のサーバーは、デフォルトで権限がありますので、
パーマリンクの設定後はパーミッションを404などに変更したほうが良いです。
.htaccessを書き換えられてしまうと、そのサイトにアクセスした瞬間に
別のサイトに飛ばされたりします。フィッシング詐欺に発展。
WordPressのテーマやプラグインから感染
素性のわからないテーマやプラグインは、
悪意のあるコードが含まれていることが多いです。
無料だからと言ってすぐに飛びつかないで、
WordPress公式サイトに掲載されている
テーマやプラグインを利用してください。
更に、使わないプラグインは削除する事。
私のクライアントで使わないプラグインの脆弱性を突かれて
大量のウイルスファイルを埋め込まれた人もいました。
その時はAkismetという、公式プラグインからでしたが、
公式版といえど、長期間放置しておけば危険な存在にもなりうるので
極力使わないプラグインは削除するように気をつけて下さい。
常に最新版にする事
Windowsでさえ、常に更新していますよね?
悪いやつと言うのは世の中にはたくさんいて、
彼らは日々、さまざまなソフトなどのセキュリティホールを
研究しています。
現在安全でも明日安全だと言う保証がないんですね。
だから発見された脆弱性はただちに修正し、
ユーザに配布しているわけです。
WordPressを筆頭とするオープンソースも同じです。
バージョンが次々と上がっているのは、
機能改善ばかりではないのです。
セキュリティホールがあれば改善して次のバージョンにアップグレード。
これの繰り返しなので、常に最新版にしていれば
少なくとも現在わかっている危険だけは回避できると言うわけですね。
また、プラグインも同じで、更新版が出たら必ず更新するようにしてください。
長々と書きましたが、
はじめからここまで書いたこと全てをやらなければいけないと言う事ではなく、
できることから始めてください。と言う事です。
ただし、サイト管理者であれば、最低限これくらいはしなくてはいけません。
それが私がいるネットビジネスの業界では常識です。
情報業界の起業家さんたちのほぼ全ての人達は
こんな事考えた事もないはずです。
どれだけ素人であるか伺えますね。
”情報”を購入するのは良いですが、相手だけは間違わないようにしましょう。
特に与沢翼、小玉歩、やしろひろたみをあたりは、
サイトを見ただけで感染しまくっていますので非常に危険です。
ネットビジネス速報メールマガジン
メルのネットビジネス速報では、悪質高額塾などの被害が拡大しないように
新しい悪質販売者の情報が入り次第、速報でお伝えいたします。
Dreamweaver、Fireworks、PhotoshopなどのTipsやチュートリアルの紹介、
最新SEO情報、その他ネットビジネスに関する情報をいち早く配信しています。
