ネット上のアクセスボリュームをUPさせ効率の良い集客をご提案します。

カテゴリー「セキュリティ日記」の記事

ブラックリストへの考察 メールのSPAMチェック DMARC、DNSBLについて

 / Linux Tips, Security Tips, セキュリティ日記, ノウハウ


昔よりも更に複雑になったと思うサーバの種類にメールシステム(smtpサーバ:MTA)がある。振り返ってみると20年くらい前はデフォルトで作ったメールサーバでもすぐにインターネット上で使えましたが、今は兎に角セキュリティが厳しいので単純な設定ではまともに動かない。ガチガチだなーと感じる。時折サーバ講義の仕事をすると一番厄介なのがメールサーバの解説。正直言って1週間勉強した程度で理解できるのは初心者程度の知識だと思う。アンチSPAMの仕組みについては年々高度になっている。油断しているとおいて行かれるので定期的に情報に目を通さなければならないが、最近の技術の中ではDMARCはさすが効果あるね!と実感できる仕組み。この機能はSMTP通信におけるなりすましを確実にブロックしてくれる。単純ななりすましなら100%ブロックできるだろう。送信サーバがスパイウェアに感染していたら駄目だと思うが、そうなっていない限り大変安全な仕組みと思う。


DMARCを使用してよかった事

以前は、時折自分のメールアドレスFromで数は多くはなかったが1年に2,3回程度送信されてくることがあったがDMARCを導入してからはピタリと止まった。更に嬉しいことに偽メールを送られた受信メールサーバからレポートがxmlで送られてくるので実態が掴める。殆どがgmailとyahooメールからのものだが、これだけ人の名前とメールアドレスを騙って送る輩がいたのだと気付かされる。つまり実際にはもっと沢山偽メールが横行していたと考えられる。もちろんDMARCを実装しているメールサーバでなければこのようなやり取りはできないが、今後必須のシステムになってきそうだと思います。特にビジネスで利用されている企業は共有ホスティングのおまけでついてくるメールは使ってはいけないと私は思います。

DMARCの導入は難しい?

メールサーバの導入になれている人なら1,2時間の学習でDMARCは導入できると思います。DKIM,SPFを入れた経験があるならすぐに理解できると思います。少しDKIM,SPFでやったような作業がつきまといますが非常に難易度の高いものではありません。作業の中にDNSのレコードを操作する箇所があるのでDNSを知らない人は大変かもしれませんがぜひチャレンジしてみてください。CentOSでやるよりもUbuntuのほうがハードルが低そうです。

DNSBLの信頼性

DNSBLシステムは世界に点在しブラックリスト情報を収集して無料で使えるメールSPAM対策サービスが幾つかある。このサービスはDNSの仕組みを利用したレピュテーションサービス(ブラックリストの判定を返す)だが運営組織が何しろ非営利な組織だから出来ては消えての繰り返し。日本ではRBL.JPという日本のスパムデータ・ベースもあったが廃止されており、現在はほとんど海外のサービスを利用するのが多くなった。厄介なのは昨今のIPアドレス汚染だ。プロバイダーの持っているIPアドレスはリサイクルされるため、過去にブラックだったIPだとかなり厄介になることがあります。というのはDNSBLやWEBのブラックQUERYサービスの中にはネットワークブロックで設定しているケースが少なからずあるからだ。そうするとホワイトなIPアドレスでもブラック扱いにされてしまう可能性が十分にありえます。誤判定の多くは過去のIP悪さが起因するのもあるけれど、このようにネットワークマスクの縛りが原因でなってしまう場合もあります。IPアドレスのご判定は殆どが申請で取り消せるようになっていますがネットワークブロックで管理している場合は無理な時もあります。その意味でサーバを借りるときは必ずIPアドレスのチェックを行うことと、IPアドレスの再割り当てができるホスティングがベストです。

SPAM対策用のmain.cfの一部抜粋

reject_rbl_client が記述されているあたりがDNSBLのサーバエントリー。お付き合いしている会社により効きすぎたり、効かなすぎたりあるため使いながら外したりして調整を行う。

共有サーバは勘違い判定の巣窟になる。

共有サーバは1台のサーバに多数のサイトが運営されるサーバですが、このサイトの中に詐欺サイトやマルウェア感染原因のサイトがあるとどうなるかご存知でしょうか?プロバイダーが認識した場合はプロバイダーから改善通知や停止を言われますが、実際のところ運営者も気づいていないものもかなりあると思います。私も自分のお客様で幾つかこの様な例を経験しましたが、結論はGoogleやYahooの検索結果に出てこなくなりました。イメージ的にはGoogleのインデックスには残っているのでしょうが、一時的にマスクされているように思えます。ブラック発見は無料のbaraccudacntral.orgのサービスでチェックし、その後別のプライベートホスティングに移設しDNSを切り替えたところ5分で検索結果にTOP5で表示されるようになりました。この経験でGoogleが如何に様々な詐欺行為のサイトを抑え込むチェックを行ってるかがわかりました。ビジネスで本気勝負をかけて集客、販売する会社は共有サーバ使ってはいけませんね。

SELinuxを有効のままでWEBデフォルトフォルダ以外のデータ更新を許可

 / Linux Tips, Security Tips, セキュリティ日記, テクニカル, ノウハウ


まっさらのLinuxに新規の場所へWEBのドキュメントルートを作りApacheを起動させると、よくエラーが生じることがあると思います。あるいはWORDPRESSのバージョンアップが出来ないとかフレームワークの更新ができないとか似たようなエラーを体験された方は多いのではないでしょうか。これは概ねお察しの通りSELinuxが有効になっているため起きているのですが、よくある処置はSElinuxをOFFにすることを勧めているケースが殆どです。しかし、SELinuxはセキュリティを高めるための仕組みですから有効のままで使いたいですよね!ということで、そのような場合の設定方法をご紹介いたします。

Apache HTTP Server が使うフォルダーを新規で設定する場合

デフォルトでは/var/www/htmlのみWEBフォルダーとして許可されているので任意の場所にドキュメントルートを設置するなら下記のように指定を行ってください。その後にApacheサーバを再起動すると動作する可能性が高いと思います。

ApacheにおけるSSL設定品質の肝。SSLCipherSuite及びSSLProtocol (POODLE対策)

 / Linux Tips, Security Tips, セキュリティ日記, テクニカル


今はGoogleのオールSSL化の推進によりかなりサイトがSSL接続仕様に変わってきた。しかし、実際のところそれで安心してはならない。SSLの設定のさじ加減というか塩梅によってはダメダメなケースもあるのです。その中でも一番肝と思うディレクティブ設定に以下のパラメータ設定がある。


暗号化通信の方式と暗号化アルゴリズムの選択

下記の設定はタイトルを表す通りの設定を行うApacheのディレクティブです。

  • SSLProtocol
  • SSLCipherSuite

脆弱性のある通信方式

SSLの通信方式には2014年10月に判明したSSL3.0およびTLS 1.0 / TLS 1.1の脆弱性があります。これを「POODLE」という名前で呼んでいます。 もともと、Googleの研究チームがSSLの解析を行い、2014年10月14日に、SSL3.0に関する脆弱性について重大なレポートを行ったのがきっかけです。POODLEは「POODLE(Padding Oracle On Downgraded Legacy Encryption)」の略称でSSL 3.0を有効にしているサーバに問題があると報告していましたが、その後TLS 1.0 / TLS 1.1の一部も問題ありと追加で報告されました。故にApacheでSSLを設定する際にデフォルトで設定していると脆弱性のある通信方式を許容するためセキュリティホールができてしまうのです。つまり、この対策は危険なプロトコルスィートを抑え込む設定が必要となります。

Apacheで行うべき設定

下記は、デフォルトではコメントアウトか、設定がないかもしれません。SSLのコンフィグ設定で追記して登録してください。危険ということで完全な抑え込みの設定をしてしまうと古いブラウザが対応できない場合があるためSSLProtocolの「-TLSV1」を入れるか、入れないかは正にさじ加減かなと思います。

設定後にテストを行う

設定ができたら評価をおこなってください。評価でA+取れるようにがんばってください。今はSNS等も評価がBレベルだとデベロッパーサイトでAPI登録を受け付けてくれないようになってきています。またGoogleもある一定期間の後にSSLの設定レベルの判別を明確にしてゆく話もありますので暗号化スィートの設定は非常に大事です。SEO的に大きな影響をもたらすので今後はApache要の設定となるでしょう。

SSLの設定レベルの品質評価

マルウェア感染が止まらない理由-(WORDPRESS)

 / Wordpress, wordpressセキュリティ, セキュリティ日記


WORDPRESSがマルウェアに感染するとよくやる対処は、テーマファイルを一つ一つ開けてチェックするケース、あるいはプラグインセキュリティを入れて駆除するパターンがオーソドックスな対処方法だと思う。ではこのやり方は本当に特効薬になりえるか?答えはNOだ。駆除をやったことの安心感だけかもしれない。見えない感染が実際には潜んでいることも知らずに。


感染に気付けない恐怖

前回の記事でも説明したがこのやり方では大概マルウェアは駆除できていない。見かけ上駆除できたように勘違いしてしまうのだ。一度駆除すると落ち着いたように見えるケースもあるし、すぐさま新しい改竄や挿入ファイルを差し込んでくるケースも有りパターンは様々だ。兎に角マルウェア感染への第一歩は、新しいサイトを構築する際にどれだけきちんとセキュリティ対策を講じて作るかが鍵である。つまり最初良ければ終わりよしとなる。逆に最初適当にサイトを作り、全くセキュリティ対策を講じないで公開すると何れマルウェアの巣窟になってしまう。直しても直しても感染する。あるいは、安心させて実際は感染しており攻撃ステーションとして乗っ取られている場合もある。これはひとつ間違えれば顧客の信用を落としてしまうことになるだろう。

どこを中継して改竄が起こっているのか?

これはざっくり6パターンある。

  • uploadsフォルダーへ改竄プログラムを設置(phpファイル、画像ファイルの拡張子にして設置)
  • システムファイルの脆弱性を利用して外部から差し込む。
  • プラグインの脆弱性を利用して外部から差し込む。
  • テーマファイルの脆弱性を利用して外部から差し込む。
  • テーマ、プラグイン作者が意図して脆弱性、スパイウェアを仕込んで差し込む。
  • パソコン、ブラウザに既に仕込まれたマルウェアが動き出して差し込む。

何故プラグインセキュリティ、総合セキュリティソフトではみつけられないのか?

改竄プログラムをエンコードしたり、そのコードを分割したりして判別付けにくくしている。更にプラグインセキュリティの想定以上に複雑で正規表現フィルターにひっかかりもしないものが存在する。また感染パターンや感染ファイルもダイナミックに生成されるものもあり判別を更に難しくしている。兎に角想像以上に進んだ仕組みで感染させていると感じるケースが少なからずある。私自身も片っ端からプラグインセキュリティソフトを試したが、一部は判定してくれるが、大部分がすり抜けてしまうケースが多かった。意外にもWindowsDefenderが検知してくれるものも結構あったのは驚いた。

高いマルウェアの検出はできるのか?

結論は最先端のAIと従来のヒューリスティックエンジンを搭載したPHP言語を理解できるマルウェアスキャナーでなければ検知は難しい。弊社ではいくつかのこのようなマルウェアスキャナーと目見でのチェックも合わせて高い検出を達成しています。一般的なセキュリティソフトでは検知は難しく見つかっても目立つ旧来の単純な感染パターンだけだと思います。ある意味マルウェア製作者はこういった見せ玉の感染とサイレントに見つかりにくいものを両方用意しているのかもしれない。

なかなか難しいWORDPRESSのマルウェア感染除去

 / セキュリティ日記


昨年からWORDPRESSで構築したマルウェア感染サイトのスクリーニング作業をやり始めたのだが約8割は簡単に除去できるが、残り2割は簡単にマルウェアを削除できなくて継続してチェックしながら、差し込まれたタイミングを検知して削除する作業を行なっています。その中でようやく最近この残り2割のマルウェアを消滅させることができた。


何故、進まないマルウェア感染チェック

WORDPREESSのマルウェア感染はまず、感染しているということを気付けていないケースがかなり多く存在する。どのような目的を持っているのか、それともクラッキング練習台としてやっているのか詳しくはわからないが、見た目実害が無いケースが多いからサイトオーナはやらなくても良いと思ってしまう。これがまず最初の難関。次に感染した事をグーグルブラウザが教えてくれたり、顧客が異変に気づき教えてくれて始めて知るパターンだろう。意外とサイト管理者は忙しすぎて自分のサイトを見ていないものだ。

感染して気づくマルウェアチェックの重要性、そして一度感染したサイトは簡単にマルウェアを完全に除去できていない。

実は一度マルウェア感染したWORDPRESSサイトは、何度もその後も感染してしまう確率が高いのである。理由はプラグインなどの感染チェックや総合セキュリティソフトでは、全てをチェックしきれなくて感染ファイルは残っているのだ。残っている感染ファイルが改竄やファイル挿入の種になっているなら何度でも感染する事だろう。

WORDPRESSセキュリティアップデート、最新版へバージョンアップしてもマルウェア感染が減少しない理由

WEBサイトとは、サーバの設置とコンテンツの設置、それぞれのコンフィギュレーション調整、運用で構成されている。WORDPRESSは最大限の努力と改善を行なっていると思います。しかし前述の通りWORDPRESSは所詮コンテンツシステムの部分だけであるため、他の部分で不適切な設定やインストールになっていたら結局のところ感染してしまいます。

マルウェア感染する理由

数年前に大規模なガンブラー系の感染による被害が出たことがあります。この時期にプロバイダー、ホスティング業者はかなり改善を行なってFTPやIPアドレス縛りの機能を導入しました。そのおかげで大分ガンブラーによる被害は減少したと思います。しかし全部なくなったわけではなくガンブラー亜種がパソコンにスパイウェアとして感染したり、ブラウザに感染してサイトを侵略するように手が込んだ仕組みが出てきています。そのほかシステムの脆弱性ソースバグを突いて仕掛けてくる攻撃は常にいつまでもあり続けるでしょう、また、5、6年前まで蔓延っていたupload系の不正コード差し込みは現在でも有効です。つまり適切なサーバ設定とWORDPRESS設置が行われて無ければ未だに有効な手法なのです。 サイトは必ずしも1つの業者ではなく、複数の業者、WEB担当者が入れ替わったりするため、伝達不足から生まれる処置不足から、セキュリティーホールの要因の半分が人の問題だったりします。経営者や担当の上司はそのことに気付くべきです。

TOPへ戻る

AGA 成長因子