WordBench山口0407

Transcript

1. Copyright© 2015 FirstServer, Inc. All rights reserved. 1 WordPressのセキュリティと 安心できるWebサイトについて

   2018年4月7日 小島 健司 第8回 WordBench山口

2. Copyright© 2015 FirstServer, Inc. All rights reserved. 2 社名 ファーストサーバ株式会社

   FirstServer, Inc. 所在地 大阪市中央区安土町1丁目8番15号 野村不動産大阪ビル3F 事業開始 1996年7月 資本金 1億円 主要株主 ソフトバンク株式会社 事業内容 レンタルサーバーサービス ドメイン名登録サービス クラウドサービス 会 社 紹 介

3. Copyright© 2015 FirstServer, Inc. All rights reserved. 3 ヤフーからソフトバンクの子会社に代わりました https://cloud.watch.impress.co.jp/docs/news/ranking/1113428.html

   https://www.softbank.jp/corp/group/sbm/news/press/2018/20180320_01/

4. Copyright© 2015 FirstServer, Inc. All rights reserved. 4 ファーストサーバとは？ ・1996年に大阪で創業した老舗のレンタルサーバー会社

   ・「Zenlogic（ゼンロジック）」ブランドでITサービスを展開 ・中小企業を中心に約3万社のお客様 カテゴリ 主な提供サービス レンタルサーバー/ アプリケーション ・レンタルサーバおよび周辺サービス ・グループウェアなどのアプリケーションサービスも開発元と協業で提供 メールセキュリティ ・Symantec Email Security.cloud ドメイン ・ドメイン名サービス ： 国内6番目のICANN公認レジストラ その他 ・便利な無料サービス DTMS

5. Copyright© 2015 FirstServer, Inc. All rights reserved. 5 自己紹介 小島

   健司＠ファーストサーバ株式会社 WordBench Osakaモデレータの一人 今年もWordCamp Osaka 2018スタッフしています。 2016年10月ぶり、人生2度目の山口。

6. Copyright© 2015 FirstServer, Inc. All rights reserved. 6 兵庫県警で登壇しました

7. Copyright© 2015 FirstServer, Inc. All rights reserved. 7 兵庫県警に呼ばれたきっかけ

8. Copyright© 2015 FirstServer, Inc. All rights reserved. 8 聞き飽きてるかもしれませんが 

   最新版にアップデート！  単純なパスワードは厳禁！

9. Copyright© 2015 FirstServer, Inc. All rights reserved. 9 セキュリティ対策 事前対策と事後対策

   今日はどちらかというと こちらよりのお話し

10. Copyright© 2015 FirstServer, Inc. All rights reserved. 10 レンタルサーバで何をやられるか 

    メールを大量に送るスクリプトを設置  フィッシングサイトを設置  不正なサイトへの誘導  サイトの書換え  情報を盗む etc.

11. Copyright© 2015 FirstServer, Inc. All rights reserved. 11 発覚の経緯 

    自分で気づく  サーバ会社からの指摘  閲覧者からの指摘  セキュリティ団体や会社 その他外部団体からの指摘 etc.

12. Copyright© 2015 FirstServer, Inc. All rights reserved. 12 何をやられるか 

    メールを大量に送るスクリプトを設置  フィッシングサイトを設置  不正なサイトへの誘導  サイトの書換え  情報を盗む etc.

13. Copyright© 2015 FirstServer, Inc. All rights reserved. 13 何をやられるか 

    メールを大量に送るスクリプトを設置  フィッシングサイトを設置  不正なサイトへの誘導  サイトの書換え  情報を盗む etc.

14. Copyright© 2015 FirstServer, Inc. All rights reserved. 14 フィッシングサイトの警告例

15. Copyright© 2015 FirstServer, Inc. All rights reserved. 15 何をやられるか 

    メールを大量に送るスクリプトを設置  フィッシングサイトを設置  不正なサイトへの誘導  サイトの書換え  情報を盗む etc.

16. Copyright© 2015 FirstServer, Inc. All rights reserved. 16 何をやられるか 

    メールを大量に送るスクリプトを設置  フィッシングサイトを設置  不正なサイトへの誘導  サイトの書換え  情報を盗む etc.

17. Copyright© 2015 FirstServer, Inc. All rights reserved. 17 何をやられるか 

    メールを大量に送るスクリプトを設置  フィッシングサイトを設置  不正なサイトへの誘導  サイトの書換え  情報を盗む →漏えい事故の可能性 どのフォルダにアクセスされて何を！

18. サーバ上にどんなデータがあるか等 大まかにでも把握していますか？

19. 改ざんされたら

20. まず 落ち着 く

21. 現状保存

22. デジタルフォレンジック コンピュータに関する科学調査 鑑識みたいなイメージ 高額になることも

23. 「市教委はセキュ リティー業者に サーバーの調査を 依頼して再発防止 策を探るととも に・・・」 こういうやつ

24. Copyright© 2015 FirstServer, Inc. All rights reserved. 24 ログの活用 •

    利用しているサービスにより提供される ログに違いがあります • 見方はサポートサイトなどで掲載されています • ログで調査した結果WordPressが原因ではない こともあります

25. バックアップからリストア

26. https://ja.wordpress.org/plugins/all-in-one-wp-migration/ プラグイン All-in-One WP Migration サーバーの移行にとても便利なプラグイン バックアップ・リストアとしても利用できる

27. Copyright© 2015 FirstServer, Inc. All rights reserved. 27 まとめ 

    落ち着く →結構大事！  保全する →あとの調査に必要、すぐ消さない  直す →バックアップからの戻し方理解してる？  原因調査 →ログを活用  改善→事前対策 →原因みつけて再発防止、更に強固に

28. Copyright© 2015 FirstServer, Inc. All rights reserved. 28 常時SSLでも信頼されないサイト例

29. Copyright© 2015 FirstServer, Inc. All rights reserved. 29 もったいない事例 混在コンテンツ

    リダイレクトされない

30. Copyright© 2015 FirstServer, Inc. All rights reserved. 30 もったいない事例 wwwなしの証明書が無い

31. Copyright© 2015 FirstServer, Inc. All rights reserved. 31 もったいない事例（メルマガ） 「

    http://r10.to 」 フィッシングでは無さそうだけど 同社のフィッシングも多いので クリックしたくない感じ。 クリックするとEV証明書を 採用したページへ

32. Copyright© 2015 FirstServer, Inc. All rights reserved. 32 有効期限にも気を付ける 利用しているレンタルサーバ会社で

    扱っている証明書なら安心！

33. Copyright© 2015 FirstServer, Inc. All rights reserved. 33 セキュリティや訪問者の行動を考えて 安心できる良いサイト作りましょう

    ご清聴ありがとうございました。

34. Copyright© 2015 FirstServer, Inc. All rights reserved. 34