Tag Archives: セキュリティ

レンタルサーバー「CMS専用高速レンタルサーバー」リニューアル!

こんにちは!かおりんです。
今日はオビタスターのレンタルサーバーのリニューアルにつきましてご案内いたします。


Continue reading

IPA広報誌「IPA NEWS」

こんにちわ。kimonoです :-)

先日、お申込みをしておりましたIPAの広報誌「IPA NEWS」が届きました。

IPA広報誌「IPA NEWS」

IPA広報誌「IPA NEWS」

IPAは独立行政法人情報処理推進機構(英:Information-technology Promotion Agency, Japan、略称:IPA)で、日本におけるIT国家戦略を技術面、人材面から支えるために設立された、経済産業省所管の独立行政法人ということです。

オープンソースに限らず、ITの世界ではそれぞれのシステムの脆弱性などを発見したり、情報を集めて報告したりくれたりする機関で、オビタスターでも、Zen Cart.jpなどでもよくお世話になっている機関となります。

先日、こちらにて広報誌が発行されていることを知り、また、この広報誌が無料で発行、送付してくれることを知りましたので、早速定期申込みをしてみました。

※この「IPA NEWS」は、日々の活動内容や成果を幅広くご紹介し、IPAの活動内容への理解および事業成果の普及推進等を図ることを目的として、IPA広報誌「IPA NEWS」を発行しているということです。
また、月ごとの主なトピックスや、現在IPAが特に力を入れて取り組んでいる事業の進捗状況などを盛り込んだ内容を、隔月でお届けしているそうです。

既に創刊号だけは在庫切れとなってしまったようですが、Webからpdf形式でダウンロードもできます。

セキュリティに関心のある方は是非とも購読されることをオススメしますね :mrgreen:

IPA NEWS

 

【Zen Cart1.5バージョンアップ事例】オビタスターテンプレートサイト

こんにちわ。kimonoです :-)

本日、以前より運営しておりました、各種ネットショップCMS無料テンプレート配布、有料テンプレート販売サイト「テンプレート・テーマサイト | オビタスター オリジナルデザインテンプレート」をZen Cartの1.5系で作り直し、リニューアルオープンしましたので、ご報告させていただきます。

テンプレート・テーマサイト | オビタスター オリジナルデザインテンプレート

テンプレート・テーマサイト | オビタスター オリジナルデザインテンプレート

テンプレート・テーマサイト | オビタスター オリジナルデザインテンプレート

Zen Cartの1.3系はかなり古いソースであったため、ブラウザによっては上手くダウンロードができなくなるケースが多発しておりました。

今回のバージョンアップによって、解消されたのではないでしょうか?

また、今回のバージョンアップでは、lzhファイルの利用も停止しました。

Continue reading

Web最新事情 ~戦略的サイトの構築と運用のすすめ~ クリエイティブビジネスフォーラムBMB×メビック扇町

こんにちわ。kimonoです :-)

11月5日(水)18時30分〜 21時30分
大阪府産業デザインセンターとメビック扇町の共同主催のミニセミナー&マッチング会に講師として参加させていただきます。
Web最新事情 ~戦略的サイトの構築と運用のすすめ~ という形で何人かの現場を行っている講師でのセミナーを無料開催しております。
事前予約制で、人数限定ですので、お早目によろしくお願いします。
どうぞふるってご参加ください。

Web最新事情 ~戦略的サイトの構築と運用のすすめ~
クリエイティブビジネスフォーラムBMB×メビック扇町
2014年11月5日(水)18時30分〜 21時30分
会場:ビック扇町 交流スペース3(大阪市北区扇町2-1-7 関テレ扇町スクエア3F)
アクセス:http://www.mebic.com/access/
定 員:80人(先着順・定員に達し次第締め切ります)

オビタスターとして「サーバー構築とハッキング対策」についてのプレゼンテーションさせていただきます。
入場料:無料(交流会は実費)
問合せ:大阪府産業デザインセンター BMB事務局:川本 TEL:06-6210-9491

http://bmb.oidc.jp/article.php/20140922162332317

何卒、宜しくお願いいたします。

 

終了報告と、セミナー資料は下記よりお願いします。

クリエイティブビジネスフォーラムBMB×メビック扇町にてセミナーを開催させていただきました。

サイトを改ざんされないために気を付けること

こんにちわ。kimonoです :-)

本日、サイトを閲覧されている一般の方より、弊社で運営管理しているサイトが改ざんされていて、フィッシングサイトへ誘導されているというご報告がありました。

調査、修正した対応内容より、皆様でもお役にたつ、必ずやっておいた方がいいのでは?と思われます注意点がいくつかありましたので、せっかくですので、こちらでお伝えさせていただきたいと思います。

セキュリティ対策

ちなみに、今回サイトの改ざんが行われたのは、最新のWordPressのサイトで、コア、プラグイン全てが最新の状態のサイトでした。

改ざんの方法は、まず、何かしらの方法にてWordPressの管理画面のIDとパスワードを入手し、それでログインし、テーマの編集機能を利用して、外部からファイルをアップロードできるテーマに書き換えること、更に現在のサイトにアクセスした際に、フィッシングサイトへ誘導するように組み替えること、更にそのコードがばれないようにファイルの端の方へと文字コードもエンコードされた状態で書きこまれることが行われました。

その後、変更されて外部からアップロードできるようになったプログラムへPOSTでファイルをアップロードし、どんどんとさまざまなサイトへ誘導するプログラムが埋め込まれておりました。

ちなみに、ftpでのアクセスログはなく、ファイルから編集された日付を確認し、その日付とファイル名より、アクセスログにて解析していくという地道な作業により、最終的な方法が分かりました。

最終的に改ざんされたファイルを元に戻し、埋め込まれたスクリプトは全て削除したのですが、一度IDとパスワードが盗まれた場合、変更しても、ロボットによる総当たりでのランダム攻撃などが怖く、更に最新版にしている状態では、ファイルを元に戻すだけで、なかなか対策ができないと思います。

現に、過去に弊社のサーバーを利用している方で改ざんされ、すぐに停止し、修正を依頼した皆様方も行うのは、基本的にバージョンアップと、ファイルを元に戻すだけという方が圧倒的に多いです。

しかし、それでは、対策がされていなく、また同じ状態になってしまうだけですので、しっかりと対策を行い、同じようにならないようにしていくことが、ハッキングされた場合は重要になります。

Continue reading

サーバソフトウェアが最新版に更新されにくい現状および対策

こんにちわ。kimonoです :-)

先日、4/25に IPA(独立行政法人情報処理推進機構) より IPA テクニカルウォッチ:「サーバソフトウェアが最新版に更新されにくい現状および対策」 が発表されました。

なんと、80%のサーバーにて、サポート終了したバージョンが利用され続けているということが分かりますね。

PHP、Apache、IISのバージョン利用状況

PHP、Apache、IISのバージョン利用状況

これでは、ハッキングや、アタックなどの攻撃がなくならず、増える一方になる理由がすぐに分かる感じです。

CMSも同様で、古いままのものを使い続けている会社様もかなりいらっしゃいます。

オビタスターでも3月にサーバーのバージョンアップを行いましたが、かなりのお客様が古いバージョンのCMSを利用し続けていることが分かりました。

確実に最新の状態にし、ハッキングや、アタックの元にならないようにしていきたいものですね。

 

オビタスターでは、常にサーバーを最新に保ち続けることを考え、サーバーによって攻撃の踏み台にならないように常に心がけております。

また、CMSでは、サイトの運営者は運営に特化し、バージョンアップなどの対応ができない人のために、オビタスターで構築を行わせていただきましたお客様限定でお申込みのできる「サポート・保守・メンテナンス付きレンタルサーバー」サービスにて、脆弱性のバージョンアップ作業を行わせていただいております。

皆様のサイトが常に安心してご利用できるサイトにしていきたいと日々考えております :mrgreen:

緊急セキュリティ勧告、皆さんご注意ください

こんにちわ。kimonoです :-)

先日、サーバーサイトでも発表させていただきましたが、

【先日から続くサイバーテロにご注意ください】 

 【サーバー接続障害 原因のご報告】

現在、相当なハッキングが流行っており、さまざまなところにて、影響を受けているようです。

更に今回は、同時期にGMOグループ(ロリポップさま)のWordPress全般のサイト書き換え、データーベース情報漏えいなどの事件も起こった模様です。

Krad XinによるロリポップWordPressサイト大量ハッキングまとめ

こちらは、サーバー会社側のパーミッション設定が問題のようで、現在、修正している模様ですが、ハッカーはちょっとしたところでもすぐに狙ってついてきますね。

更に、先日のシリア軍による犯行声明のだされたTwitterへの攻撃は、更に、Time、CNN、Washington Postなどをまとめてハッキングしたみたいですね。

Washington PostやCNNにサイバー攻撃、「シリア電子軍」が犯行声明

ちなみに、上記のような有名サイトだけではなく、ロリポップさまのように手当たり次第アタックされていますので、うちは小さいサイトだから、うちは見ている人が少ないから、大丈夫というように安心しないでください。

どのサイトも公開している以上、常に検索エンジンのロボットのようにクロールされ、攻撃できないかチェックされています。

全ての皆さんは、狙われていると思い、利用のソフト(CMS)などは最新にしていただくようにお願いします。

また、先日のハッキングのようにCMS側などではなく、パソコン側をのっとり、FTPアカウントを盗んでの改ざんなどもありますので、ご利用中のパソコン、ブラウザ、ソフト、ウィルス対策ソフトなどは常に最新にするように心がけてください。

ちなみに、先日よりDNSサーバーに対する攻撃(DDoS攻撃)も流行っているようですが、弊社では、サーバー、ネームサーバー、ルーターなどのネットワーク機器全てにおいてオープンリゾルバーを公開しておりませんので、ご安心くださいませ。

過去最大300Gbps超のDDoS攻撃に悪用されたDNSの「オープンリゾルバー」とは

毎日毎日大変ですが、まとめて行うと大変ですので、日々の積み重ねを行うことが一番重要ですね ;-)

【Zen Cart制作事例】arth様

こんにちわ。kimonoです :-)

今日も公開は結構前になりますが、紹介させていただいておりませんでした制作事例を、改めてご紹介させていただきます。

arth~地球がくれた宝物~

arth~地球がくれた宝物~

Zen Cartでサイト運用をしていましたが、古いまま運用していたため、ハッキングされてしまったため、バージョンアップして作成しなおさせていただきました。

鉱物ネット販売のサイトになります。

Continue reading

【お客様各位(緊急)FTPアカウント乗っ取りによるサイト改ざん、ハッキングについて】

平素は格別のご高配を賜り、厚く御礼申し上げます。

先日より、WordPressの脆弱性への対応などを含め、
サイトへの攻撃や、サイトへのハッキングが急増しております。
また、迷惑メール(スパムメール、ウィルスメール)も増大しており、
日々増える一方となっております。

本日も弊社のお客様がガンブラーと思われる手口にて、
FTPアカウントが乗っ取られ、サイトが改ざんされ、
一斉メール送信の踏み台とされていることを発見しました。

※ガンブラーとは
http://ja.wikipedia.org/wiki/Gumblar
http://ascii.jp/elem/000/000/495/495263/
被害を防ぐためにも、お客様各位で対策を行っていただく
必要がございますので、ご確認くださいませ。
●最新のウィルス対策を行ってください

ご自身のパソコンがウィルスに感染していないかどうか、
チェックを行ってください。
オンラインサービスによるウィルスチェックも可能です。

-カスペルスキー オンラインスキャン
http://www.kaspersky.co.jp/virusscanner
-シマンテック セキュリティチェック
http://security.symantec.com/sscv6/home.asp?langid=jp&venid=sym&plfid=23&pkj=CNVFMSTHXOAMEQVQCIR
●ご利用のパソコンのプログラムを最新版にアップデートしてください

お客様が現在ご利用されている Flash Player や Adobe Reader
などのソフトウェアのバージョンは、以下のツールを
利用することでチェックする事ができます。
バージョンが古いものが確認された場合は、至急、
最新のバージョンにアップデートしてください。

-MyJVN バージョンチェッカ
http://jvndb.jvn.jp/apis/myjvn/
●特定の接続元からのみFTP接続を許可してください

オビタスターレンタルサーバーでは、お客様側にて
FTP接続をお客様の接続IPのみに制限することが可能となっております。

-特定の接続元からのみFTP接続を許可するには?
http://www.cms-server.ne.jp/index.php?main_page=document_general_info&cPath=65_68_69&products_id=382

 

詳細につきましては下記ページでもご案内しておりますので、ご確認ください。

-情報処理推進機構:ウェブサイト改ざんに関する注意喚起
http://www.ipa.go.jp/security/topics/20091224.html

 

また、もし、他のハッキング例などを発見しましたら、
ご連絡いただけましたら、各CMSの方や、
IPA(情報処理推進機構)
http://www.ipa.go.jp/
JPCERT/CC
http://www.jpcert.or.jp/
などへの連絡などの対応も行なわせていただきますので、
あわせて、宜しくお願いいたします。

新年度一発目のキャンペーンは”これ”だ!

こんにちわ。kimonoです :-)

本日は4/1です。
本日より新たな年度の始まりとして、多くの皆さんも新しい門出としてスタートしたり、気分一新頑張っていられると思います。

そんな皆様に、耳寄りなお知らせをお伝えします。
新年度より、ネットショップ開業構築プランを、Zen Cartオーダーメイドプランと名称を変更させていただきました。
こちらのプランは弊社のサービスでも一番人気のサービスとなり、多くのお客様にご愛好いただいているサービスですが、こちらのサービスを、なんと!先着5名様限定で、超特価価格の200,000円の税込み価格にてご提供させていただきます。
これはちなみに、エイプリルフールネタではありません 8-O

先着5名様のみに、信じられない超特価にてZenCartオーダーメイドプランをご提供いたします。通常315,000円(税込)が先着5名様のみ200,000円(税込)に!!

エイプリルフールと言えば、今年も様々なサイトがエイプリルフールにちなんで、色々やってましたね~。
せっかくですので、いくつかご紹介を。

さくらインターネット
http://toaru.sakura.ne.jp/
レールガンネタらしいですが、詳しいことは分かりません><

ドミノピザ
http://www.dominos.jp/
ネタに見えませんでした><

3D版Yahoo! Japan
http://event.yahoo.co.jp/20100401/3d_first/
む! Silverlightを入れると3Dになると思いました^^;

円谷ッター
http://tsubutter.m-78.jp/
ウルトラマンとTwitterでフォローしあえる?

goo
http://www.goo.ne.jp/special/20100401/
すごっ!w