お問い合わせ
近年では、レンタルサーバーの脆弱性を狙われてサーバー内に不正アクセスされる事例が増えています。セキュリティ面を不安に思い、レンタルサーバーを導入するだけでなく、セキュリティ対策をしっかりと確認し、今後は安心できるセキュリティを構築する必要があります。
この記事では、レンタルサーバーへの不正アクセスで想定される被害や不正アクセスに対してレンタルサーバー利用者が行うべきセキュリティ対策について紹介していきます。
目次
レンタルサーバーの不正アクセスについて
近年では、パスワードの漏洩やソフトウェア・サイトの脆弱性が狙われ、ご利用中のレンタルサーバーへ不正アクセスを受けるケースが増加しているようです。
不正アクセスの被害は、レンタルサーバーの利用者自身が受けるだけでなく、利用者が加害者となり他者への攻撃に利用される可能性があります。最悪の場合、罪に問われる可能性もあるため十分な対策が必要となります。
レンタルサーバーに不正アクセスされた際の被害
レンタルサーバーに不正アクセスされた際に、下記のような被害が想定されます。
- Webサイトの内容改ざん
- 利用者の個人情報や金銭などが盗まれ、悪意のある第三者に利用される
- マルウェアに感染
- 他者へ行う攻撃の踏み台(加害者)にされる
Webサイトの内容改ざん
レンタルサーバーへ不正アクセスを受けると、サーバー上のデータが改ざんされたり、身に覚えのないファイルを設置される場合があります。
上記のようなことが起きれば第三者に対し、影響を与える可能性が高いです。
ランサムウェアに感染
ランサムウェアに感染してしまうと、パソコンやサーバー内にあるデータが暗号化されてしまいます。業務に支障が出たり、多額の金銭要求をされるなどのリスクがあります。
近年では、二重恐喝という暗号化前にデータを盗み出し、身代金を払わなければ盗み出したデータを公開するという脅しをされる被害も確認されています。
利用者の個人情報や金銭などが盗まれ、悪意のある第三者に利用される
- 利用者の個人情報漏洩
- 正規ユーザの連携しているSNSの乗っ取り等でなりすまし
- クレジットカード情報などから金銭の盗み出し
- 利用者へ提供元を装い不正請求
上記のような、個人情報や金銭などの被害も想定されます。
他者へ行う攻撃の踏み台(加害者)にされる
- サーバーからスパムメールを送信
- Webサイトなどコンテンツ内容の改ざん
- 不正ファイルをアップデートされる(フィッシングサイト等)
- 上記のファイルを用いた遠隔操作
- 外部サーバーへの不正攻撃
上記で列挙した想定される被害はほんの一部であり、不正アクセスを受けると利用者のみの被害に留まらず、気づかぬうちに利用者も加害者になってしまう可能性もあります。
不正アクセスは、セキュリティ対策をしっかりと行うことで防止することは可能なため、被害に遭わないためにも下記の内容を参考にし、対策を行ってください。
もし、不正アクセスの被害を受けているのであれば、すぐに不正アクセス調査専門業者へ相談することをおすすめします。専門業者に調査を依頼することで、侵入経路、攻撃手順や被害状況などが判明します。
私たちデジタルデータフォレンジック(DDF)には、官公庁、上場企業、捜査機関等を含む幅広いインシデントに対応経験がある専門エンジニアが多数在籍しており、これまで無数のインシデント被害を調査してきました。
具体的な被害調査や情報漏えい有無の確認を行いたい場合、まずはお気軽にご相談ください。24時間365日体制で相談や見積もりを無料で受け付けております。
\サイバーセキュリティの専門家に無料相談できる/
レンタルサーバーへの不正アクセスに対するセキュリティ対策
下記のセキュリティ対策を行うことでレンタルサーバーへの不正アクセスの可能性を下げることができます。
- SSL
- ファイアウォール
- Webアプリケーションファイアウォール(WAF)
- IDS/IPS
- Web改ざん検知
- 国外IPアドレス制限
- 脆弱性診断
- ログイン試行回数制限
SSL
SSLとは、ブラウザとサーバー間でやり取りしているデータを暗号化するセキュリティ対策です。これを導入することにより、ブラウザで入力したクレジットカード情報や個人情報が盗聴されたり、改ざんされたりすることを防ぎます。
SSLが導入されている場合URLの最初が「https://」となり鍵のマークがつきます。一方、導入されていない場合は「http://」となっており、鍵マークがついていません。
ファイアウォール
ファイアウォールは、サーバーとの通信を制限するセキュリティ対策です。あらかじめ設定しているIPアドレスやポート番号しかサーバーと通信できません。これは、許可されてない侵入者や悪意のあるデータをシャットアウトするための門番の役割をしています。
許可されたIPアドレスやポート番号からの通信以外は防ぐことができるため、不正アクセスやサーバー乗っ取りなどを防ぐことができます。しかし、それ以外は防ぐことはできないので、別のセキュリティ対策も必要です。
Webアプリケーションファイアウォール(WAF)
Webアプリケーションファイアウォールは、Webアプリケーションに特化したファイルウォールの一種で、Webサイトへの攻撃を防ぐことができます。
Webアプリケーションファイアウォールを導入することで、データの改ざんや情報漏洩を防止することができます。
IDS/IPS
- IDS(不正侵入検知システム):外部からの不正アクセスを検知した場合、サーバーの管理者に通知するセキュリティ対策
- IPS(不正侵入防止システム):不正検知に加え、自動で攻撃を防護するセキュリティ対策
IDSとIPS両方を利用することで、セキュリティ対策を強化することができます。
Web改ざん検知
Webサイトが改ざんされているかを確認し、改ざんが発生している場合に管理者に通知するセキュリティ対策です。
Web改ざん検知を導入することで、目視では確認できないような改ざんを高確率でWebサイトの改ざんを防ぎ、情報漏洩などの実態を未然に防止できます。
国外IPアドレス制限
国外IPアドレス制限とは、国外IPアドレスからの接続を遮断するセキュリティ対策です。最近のサイバー攻撃の多くは、国外IPアドレスを経由しています。
そのため、国外のIPアドレスを制限することで、不正アクセスを防ぐことができます。
脆弱性診断
脆弱性診断とは、サーバーやWebアプリケーションの脆弱性を洗い出すセキュリティ対策です。診断を行うことで、現状のセキュリティレベルが把握することができます。診断結果を踏まえて、適切なセキュリティ対策を行いましょう。
ログイン試行回数制限
ログイン試行回数制限とは、連続してログイン情報を間違えた場合は、アクセス制限をするセキュリティ対策です。こちらを導入することで、ブルートフォースアタック(総当たり攻撃)を防ぐことができます。
もし、被害に遭った際は不正アクセス調査専門業者へ相談
フォレンジック調査とは、デジタルデータからインシデントの証拠を収集・分析する手法です。デジタルデータには、パソコンやスマートフォンのログファイル、ネットワークの通信ログなどがあります。これらのデータを分析することで、インシデントの具体的な状況を把握することができます。
なお、フォレンジック調査は、専門的な知識や技術が必要となるため、外部の専門業者に依頼することをおすすめします。マルウェア感染や不正アクセスの有無を特定し、適切な説明を行うことで、信用を回復することができます。
フォレンジック調査の詳細は下記でも詳しく解説しています。
フォレンジック調査が有効な理由
フォレンジック調査が有効な理由は以下3つが挙げられます。
- 被害原因・侵入経路を特定できる
- 被害の規模を把握できる
- 被害の拡大を防げる
①被害原因・侵入経路を特定できる
フォレンジック調査では、不正アクセスの痕跡を分析することで、被害の原因を特定することができます。
レンタルサーバーへの不正アクセスが疑われる場合、悪意ある人物が自社のネットワークに侵入している恐れがあることから、被害原因・侵入経路を特定するなど、適切な調査が必要です。
②被害の規模を把握できる
フォレンジック調査では、不正アクセスによって流出した情報の種類、規模を把握することができます。被害の規模を把握することで、顧客への適切な対応を行うことができます。
③被害の拡大を防げる
フォレンジック調査では、不正アクセスで流出した情報が悪用されていないかを確認することができます。被害の拡大を防ぐことで、顧客の二次被害を防止することができます。
このように、フォレンジック調査は、情報漏えいやマルウェア感染の被害を受けた宿泊業者にとって、被害の拡大を防ぎ、信用回復につなげるための重要な手段となります。
私たちデジタルデータフォレンジック(DDF)には、官公庁、上場企業、捜査機関等を含む幅広いインシデントに対応経験がある専門エンジニアが40名以上在籍しており、相談や見積もりを無料で受け付けています。いつでも対応できるよう、24時間365日体制でご相談を受け付けておりますので、まずはお気軽にご相談ください。
\累計3.9万件の相談実績 24時間365日 相談受付/
企業の情報漏えいインシデント対応が義務化されています
2022年4月からは、個人情報保護法が改正された影響で、情報漏えいが発生した場合、被害者と個人情報保護委員会に報告する義務化されました。
特に、以下のようなケースに該当する場合、委員会への報告と本人への通知が必要です。
- (1)要配慮個人情報(人種、信条、社会的身分、病歴など)が含まれる個人データの漏えい等
- (2)不正に利用されることにより財産的被害が生じるおそれがある個人データ(クレジットカード情報や口座情報)の漏えい等
- (3)不正の目的をもって行われたおそれがある個人データの漏えい等
- (4)個人データに係る本人の数が1,000人を超える漏えい等
- (5)条例要配慮個人情報が含まれる保有個人情報の漏えい等
したがって「マルウェアに感染した」、「ハッキングによる情報漏えいが疑われる」 場合、被害範囲や不正行為の経路を調べることが大切です。
情報漏えいにおける個人情報保護委員会への報告義務についてはこちら
最高1億円の罰金が科せられる恐れも
仮に「悪質な管理体制で個人情報の不正流用が発生した」もしくは「措置命令違反があった」場合、最高1億円の罰金が科せられる恐れもあります。
このため、顧客情報を取り扱う企業や組織は、情報漏えいが発生時、どの情報が、どのような経緯や経路で漏えいしたのかを調査し、今後の対応や予防策を考える必要があります。
ただ、被害調査を行う場合、専門技術が必要です。これは自社のみでの対応が困難のため、第三者調査機関であるサイバーセキュリティ専門家と提携しての調査をおすすめします。
私たちデジタルデータフォレンジック(DDF)には、官公庁、上場企業、捜査機関等を含む幅広いインシデントに対応経験がある専門エンジニアが多数在籍しており、これまで無数のインシデント被害を調査してきました。まずはお気軽にご相談ください。24時間365日体制で相談や見積もりを無料で受け付けております。
\相談から最短30分でWeb打ち合わせを開催/
詳しく調べる際はハッキング・乗っ取り調査の専門家に相談する
ハッキング、不正アクセス、乗っ取り、情報漏えいのような問題が発生した場合、どのような経路で、どのような情報が漏えいしたのか、被害の全容を正確に把握する必要があります。しかし、自力で調査を行うと、調査対象範囲が適切でなかったり、意図しない証拠データの消失が発生しやすく、不完全な結果になる恐れがあります。
このような事態を防ぎ、適切な調査によって原因究明を行うためにも、ハッキング調査の専門家に相談することが重要です。
ハッキング調査では、インシデント対応のプロが初動対応から、専門設備でのネットワークや端末の調査・解析、調査報告書の提出によって問題の解決を徹底サポートします。
フォレンジックサービスの流れや料金については下記からご確認ください。
【初めての方へ】フォレンジックサービスについて詳しくご紹介
【サービスの流れ】どこまで無料? 調査にかかる期間は? サービスの流れをご紹介
【料金について】調査にかかる費用やお支払方法について
【会社概要】当社へのアクセス情報や機器のお預かりについて
デジタルデータフォレンジックでは、お電話またはメールでお問合せいただくと、状況のヒアリングと対応方法、お見積りを無料でご案内いたします。
法人様の場合、ご相談から最短30分で初動対応のWeb打合せも開催しております。官公庁・上場企業・捜査機関等まで幅広い調査対応経験を持つ専門の担当者が対応させていただきます。
まずは、お気軽にご相談ください。
調査の料金・目安について
専門のアドバイザーがお客様の状況を伺い、概算の見積りと納期をお伝えいたします。
機器を来社お持込み、またはご発送頂ければ、無料で正確な見積りのご提出が可能です。
まずはお気軽にお電話下さい。
よくある質問
対応内容・期間などにより変動いたします。
詳細なお見積もりについてはお気軽にお問い合わせください。
専門のアドバイザーがお客様の状況を伺い、概算の見積りと納期をお伝えいたします。
可能です。当社は特定の休業日はございません。緊急度の高い場合も迅速に対応できるように、365日年中無休で対応いたしますので、土日祝日でもご相談下さい。
もちろん可能です。お客様の重要なデータをお取り扱いするにあたり、当社では機密保持誓約書ををお渡しし、機器やデータの取り扱いについても徹底管理を行っております。また当社では、プライバシーの保護を最優先に考えており、情報セキュリティの国際規格(ISO24001)およびPマークも取得しています。法人様、個人様に関わらず、匿名での相談も受け付けておりますので、安心してご相談ください。
この記事を書いた人
デジタルデータフォレンジック
エンジニア
