No.76 2000/12/09
レンタルウェブサーバ利用者の危機管理
 私は、これまでに何度か、ネットワークセキュリティ問題について警鐘を鳴らす情報を提示してきました。省庁ホームページ改ざん事件について第31回第36回で書き、無名サイトにも攻撃の試みが多いという発見を第72回で書きました。そして、2000年11月15日からネットワーク攻撃記録の公表を始めました。前回は、私のサイトのセキュリティ管理ポリシーを公開しました(これはネットワーク技術者でないとわかりにくかったかもしれません)。
 私がしつこく書いてきたことは、FTP(ファイル転送プロトコル)は悪用されやすいということです。FTPは、レンタルウェブサーバを借りて個人や小規模組織のウェブサイトを運用している人がファイルをサーバにアップロードするのに使うおなじみのプロトコルです。つまり、レンタルウェブサーバは、いつもホームページ改ざんなどの攻撃の危険にさらされているのです。省庁や大企業のような重要サイトでない無名のサイトがホームページ改ざんの攻撃を受けたというニュースは聞こえてきませんが、自分のホームページが改ざんされるおそれはないのかと心配になった人もおられるでしょう。
 そのおそれはないのかと問われれば、「あります」というのが答えです。一般的に言えば、クラッカー(攻撃者)にとっては、無名のサイトの攻撃に成功しても自慢にはなりません。しかし、クラッカーがあなたを逆恨みしている人物だったりストーカーだったりしたら、あなたのホームページを猥褻なコンテンツに改ざんするなどのいやがらせをするかもしれません。
 そのような犯罪から身を守るために、私が解説しているむずかしいネットワークセキュリティ技術を理解しなければならないのかというと、そうではありません。私が解説してきたのは、サイト運用者のための技術です。専門的なセキュリティ管理は、レンタルウェブサーバを提供するプロバイダに任せていればよいのです。
 ただ、すべての責任をプロバイダが負ってくれるからユーザーは何も心配しなくてよいというわけでもありません。ユーザーにも自ら行うべき危機管理があります。今回は、それを解説しましょう。
 ただし、私はレンタルウェブサーバを使ったことがないので、実情にそぐわないところもあるかもしれません。ご了承ください。

  1. パソコンを2台持つ
     パソコンが故障したら、修理には2週間以上かかるものです。修理に出したら、ハードディスクに入れたデータの保存は保証されません。ウェブサイトを持つ人なら、ぜひパソコンを2台(またはそれ以上)持って、一台が故障しても万一の改ざん事件に素早く対処できるように備えるようお勧めします。

  2. コンテンツの控えを持っておく
     サーバにアップロードしたコンテンツをプロバイダが保証してくれることをあてにして自分のパソコンから消してしまう人はまさかいないと思いますが、必ず控えは保存してください。2台のパソコンをインターリンクケーブルかUSBケーブルでつないでWindowsの「ケーブル接続」機能を使って、またはLANでつないで「ネットワークコンピュータ」によって、いつもファイルをもう一台のパソコンにコピーしておくことをお勧めします。

  3. 破られにくいパスワードを使う
     ファイルをサーバにアップロードするためのパスワードが他人に知られると、他人があなたになりすましてウェブページを改ざんすることができてしまいます。パスワードを自分で決める場合は、他人に推測されにくい綴りを使うようにしてください。
     以下のようなパスワードは危険です。
    • ユーザー名と同じもの(最悪)
    • ユーザー名を繰り返したもの
    • ユーザー名の文字を逆順にしたもの
    • 誕生日の数字
    • 電話番号の数字
    • 自分の名前
    • 家族の名前
    • 有名人の名前
    • 辞書にある英単語(総当たりで破る攻撃があります)
     一見無意味な英字綴りに数字、あるいは可能ならば記号(ピリオドや感嘆符など)を混ぜるのがよいでしょう。たとえば、「bamhet」のような、意味なしだけど英語流の発音で暗記しやすい綴りに数字をくっつけるという方法で決めるのもよいと思います(これは、私が考えたパスワード生成方式です)。

  4. 自分のウェブページをこまめにチェックする
     プロバイダにとって、あなたのウェブページを書き換えたのがあなた自身か、あなたになりすました他人かを判別するのは非常に困難です。意図していない書き換えを迅速に発見できるのはあなたしかいません。ファイルをアップロードしたままほったらかすのは良くありません。あなたのホームページがいつのまにか猥褻なコンテンツに書き換えられて長い間そのままになったら、あなたが世間から誤解を受けることになります。

  5. 改ざんを発見したらプロバイダに通報する
     自分のウェブページが改ざんされていることに気付いたら、ただちにプロバイダに通報してください。この時あわててコンテンツを書き戻してはいけません。犯罪の証拠保全に支障をきたします。

  6. プロバイダの指示に従って処置する
     プロバイダは専門家ですから、あとはその指示に従うことです。プロバイダで記録の保全が完了して「もう書き戻してけっこうです」と言われてからコンテンツを書き戻してください。また、パスワードの変更を勧められたらそうしてください。

 もしプロバイダが改ざんの通報にあわてふためくようなら、そんなプロバイダは見限るべきです。
 省庁などのような重要サイトにレンタルウェブサーバを使う場合は、事前にプロバイダに危機管理ポリシーを尋ね、しっかりしていそうなプロバイダを選ぶことをお勧めします。コンテンツが改ざんされては絶対に困るような重要サイトのニーズに応えるには、FTPでアップロードを受け入れるサーバをウェブサーバとは別に設けるなど、技術的には方法はあるはずです(私のサイトは、外出先からのメンテナンスのためにその方式をとっています)。重要サイトならば、多少料金が高くても、安全策をとってくれるプロバイダを選ぶべきでしょう。

 インターネットは、大衆化されるにつれて、一面で危険な世界になってきています。でも、自分の身を守るための危機管理を知っていれば、恐れる必要はありません。


付記:ネットワーク攻撃記録の公表はとりやめました。
目次 ホーム