お客様側でのセキュリティ対策【Plesk11】

セキュリティ被害にあわないために

パスワード文字列の工夫のと定期的な更新(メール、FTP…)、不要アカウントの削除

パスワードには以下のようなパターンは避け、英数字や半角記号を含むもの、文字数も最低8文字以上で設定するよう工夫ください。

避けたい文字列パターン:

  • アカウント名やドメイン名と重複する文字列
  • 辞書に登録されている単語や人名
  • 連続した文字列(例:abc、12345)
  • 同じ文字の繰り返し(例:0000、katokato)

また定期的なパスワードの更新も必要です。パスワード更新方法については以下をご参照ください。
また不要なアカウントの削除なども行うようにしてください。
FTPのユーザーID・パスワードがわかりません。(FTPパスワードの再設定方法)
メールアドレスのパスワードを変更する方法を教えてください
パスワード、ユーザ情報の管理について(その他のパスワードも含む)

インストールしたツールのセキュリティ情報を確認(WordPress、ModX…)

WordPress、ModX、Joomla、等、外部プログラムの、セキュリティ脆弱性が突かれて不正に利用されるケースも近年多く確認されています。
各プログラム配布元の情報を参照しセキュリティ対策を取ってご利用いただくこと、インストール後に脆弱性が発覚することもございますので随時情報を確認するようにしてください。不要になった場合はアンインストールをし、使用しないプラグイン等は無効にしてください。
上述のようなウェブコンテンツを構成するテキストや画像などを統合的に管理するプログラムは「CMS(コンテンツマネージメントシステム)」とも呼ばれ、近年ご利用される方も大変多いプログラムです。セキュリティの脆弱性が発覚し、悪意のあるアクセスを試みられた際は、FTPパスワードの漏洩、サイトの書き換え、メールの不正送信などが行われる可能性があります。

可能な限りのアクセス制限

サービスについてはファイアウォールモジュールで制限をかけるようにしてください。
ファイアウォール設定【Plesk11】
当ガイドではFireWallのカタカナ表記をファイアウォールに統一しています。コントロールパネル、Plesk上の表記は「ファイヤウォール」の場合がございます。

上記ガイドの「STEP3」で特に編集をしていただきたいルールは
「Plesk管理インターフェイス」「FTPサーバ」「SSH(セキュアシェル)サーバ」 などですが、
メールの送受信のアクセス元が社内LANに限定できるのであれば 「SMTP(サブミッションポート)サーバ」「POP3(メール受信)サーバ」「IMAP(メール受信)サーバ」等も限定してください。

もし、「SSHは使ったことがないし使う予定もない」という場合は、全て拒否の状態で設定しておき、必要に応じてファイアウォールモジュールの設定を変えるということも可能です。
>参照:SSHDの注意喚起やサーバへのアクセス制限について

またウェブサイトの特定ディレクトリに一般公開すべきでないデータが公開されている場合は、保護ディレクトリ機能や.htaccess によるネットワーク制限などで、アクセスを制御することができます。
保護ディレクトリの設定【Plesk11】

メール認証方法

Pleskをご利用の方には初期推奨設定として、メール送信には587番ポートを利用し、SMTP認証を有効にいただくようご案内をしております。

587番ポートのSMTP認証、および、POP before SMTPを有効にする設定

SMTP認証に加え、POP before SMTP認証も有効にしていただくことができます。

  • Pleskにログイン、上部「サーバ」メニューをクリック
  • メール欄「メールサーバ設定」をクリック
  • 【メール】アイコンをクリック
  • 「プリファレンス」を編集します。
    •  一般オプション
        ⇒メッセージサブミッションを有効にする:チェックON
    •  メールリレー
        ⇒「認証が必要」のラジオボタンを選択
    • POP3(POP before SMTP) :チェックON、 ロックタイム(任意)分
    • SMTP:チェックON(  POP3/IMAPメールアカウント名
    •  POP/IMAPメールアカウント名
        ⇒「フル POP3/IMAP メールアカウント名の使用のみ許可する」を選択
        ※上記は既定値です。この項目を変更して保存場合はメールソフト側の再設定が必須となります※
  • 「OK」を押します。

またファイアウォールで「POP3(メール受信)サーバ」のアクセス元を制限した上で、POP befor SMTP認証も有効にするとよりスパム抑制効果が上がります。

なお、POP before SMTPの有効化に伴い、メールソフトによっては設定調整が必要なものもありますのでご注意ください。
SMTP認証に加え、POP before SMTPも有効にしたらメール送信ができなくなりました

POP before SMTPを有効にしたくない場合:メールリレークローズ

セキュリティ対策方針によっては、POP befor SMTPを有効にしたくない、という場合もあるかと思います。
● メールアカウントを持つユーザのアクセス元がすべて587番ポートに対応している
(25番のみしかオープンでないプロバイダから接続するユーザがいない)
という場合、以下のような認証設定に変更すると「25番ポート経由でのメール送信認証」については行われなくなります。

  • Pleskにログイン、上部「サーバ」メニューをクリック
  • メール欄「メールサーバ設定」をクリック
  • 【メール】アイコンをクリック
  • 「プリファレンス」を編集します。
    •  一般オプション
        ⇒メッセージサブミッションを有効にする:チェックON
    •  リレーオプション
        ⇒「クローズ」のラジオボタンを選択
    •  POP/IMAPメールアカウント名
        ⇒「フル POP3/IMAP メールアカウント名の使用のみ許可する」を選択
        ※上記は既定値です。この項目を変更して保存場合はメールソフト側の再設定が必須となります※
  • 「OK」を押します。

またファイアウォールで「SMTP(サブミッションポート)サーバ」のアクセス元を制限した上でリレークローズをするとスパム抑制効果が上がります。

ログや外部の不正プログラムチェックなど

ウェブサーバのアクセスログ、FTPのログなどはログマネージャでご確認いただけます。
1.Pleskにadminでアクセス、上部で対象のウェブスペースを選択
2. 「ウェブサイトとドメインをクリック、高度なオペレーションを表示する」をクリック
3.「ログ」をクリック、ウェブスペース内に複数ドメインを設置している場合はドメイン名の右の「表示する」をクリック
主にウェブ関連のドメイン毎のログ一覧が表示されます。

上位プランのお客様については、SSHへの認証ログ、メールログもコマンドライン、もしくは「コントロールパネルのファイルマネージャ」から確認が可能です。SSHポートへの不正アクセス、不正ログインを試みるログは多く見受けられますのでファイアウォールモジュールで制限することをお勧めします。以下、上述のログ以外の、代表的なログファイルの例です。

SSHへの認証ログ
  /var/log/secure
メールログ
  /usr/local/psa/var/log/maillog
リアルタイムのFTP転送ログ
  /usr/local/psa/var/log/xferlog

【メールキューの確認】
メールの不正利用に気づくきっかけの1つとして、「メールキューの数」の確認があります。大量のメールキューが溜まっているようなら不正利用されている可能性も高くなります。
1.Pleskにログイン
2.上部メニューからサーバをクリック
3.メールメニュー内の「メールサーバ設定」をクリック
4.メールキュータブをクリック

メールキューが0件の場合は何も表示されませんが、1件以上あると1ページに表示させる件数設定ができ、削除も可能です。
1ページに表示させることのできる、メールキューの件数設定は「10、25、100、すべて」のうちは最大でも「100」件までにしてください。
「すべて」を選択してしまいますと、メールキューが大量に増えてしまった場合(たとえば数千件以上)にウェブで表示できなくなることがあります。
Plesk11でメールキューの数が多いため表示件数を「すべて」と設定したらページが表示できなくなってしまった!!という場合は一旦Plesk11からログアウトして再ログインしてください。デフォルトの25件ずつに設定がリセットされます。 >参考:徹底解説、メールキューとメールセキュリティの話

【メールキューの削除】
メールキューの削除をする前には SMTPサーバ(Qmail)を停止した後、削除し、その後、SMTPサーバ(Qmail)を起動します。もしWatchdog等でサービスを自動起動する設定にしている場合は、その作業の時間帯は監視を無効にしておきます。以下の一連の作業終了後に、Watchdogの設定を元に戻すのを忘れないようにします。(関連ガイド:Watchdog サービス監視設定【Plesk11】

… SMTPサーバ(QMail)停止作業
1.Pleskにログイン
2.【サーバ】をクリックして、「サービス管理」をクリックします。
3.「SMTPサーバ(QMail)」の欄の赤いアイコンをクリックすると
 サービスが停止します。
… メールキュー削除作業
4.左メニューから【サーバ】をクリック
5.「メール」をクリック
6.「メールキュータブ」をクリック
7.のキューの列の左のチェックをクリックして、表示項目全てをチェック済みにします
※受信者がお客様の意図された宛先の場合は、適宜該当行のチェックを外します。
8.【削除】アイコンをクリック
… SMTPサーバ(QMail)起動作業
9.【サーバ】をクリックして、「サービス管理」をクリックします。
10.「SMTPサーバ(QMail)」の欄の緑のアイコンをクリックするとサービスが起動します。

またウェブサイトへウイルスを設置されたかチェックする無料のオンラインスキャニングツールなどもあります。
aguse.jp ウェブ調査
gred

またリアルタイムの審査ではありませんが
「http://www.google.com/safebrowsing/diagnostic?hl=ja&site=●●●(調査したいサイト名)」
にアクセスすることで情報を確認することもできます。

その他に、Google ウェブマスターツール等のサービスに登録しておくと、Google側で不正なサイトと認知された時点でメール連絡が来ることもあります。
またシマンテックのセキュアサーバIDのSSL証明書をご利用の場合、SSLを導入されたウェブサイトにマルウェアが検知されると当社宛に連絡が来ますので、お客様にご連絡差し上げております。

Pleskアップデート

Plesk11については既定で自動で内部プログラムのパッチのアップデートが有効になっています。もしお客様のご都合で自動アップデートをOFFにしている場合は手動でアップデートをおこなうようお願いいたします。
アップデートパッチをコマンドラインで実行する例:

# /usr/local/psa/admin/sbin/autoinstaller –select-product-id plesk –select-relase-current –reinstall-patch –install-component base

お手持ちのコンピュータの保護

パスワードの漏洩の原因がお手持ちのコンピュータ上の不正プログラムであるということもありますので、お手元のコンピュータに不正プログラムがインストールされているかどうかなど、セキュリティソフトやオンラインスキャニングサービス等で、随時確認を行ってください。

セキュリティ被害が確認されたら

ウェブサイトの改竄

まずFTPパスワードを再設定をしてください。
FTPのユーザーID・パスワードがわかりません。(FTPパスワードの再設定方法)

その後、お手元にある本来のコンテンツでサイトをつくり直していただきますようお願いいたします。

ウェブサイトに導入したプログラム(WordPressやModXのようなCMS)の脆弱性が見つかった場合、該当のプログラムのセキュリティアップデートが可能かどうか確認ください。
同時に、上述の「セキュリティ被害にあわないために」の各項目の見直しを行ってください。特に必要なアクセス制限は可能な限り行ってください。また、WordPress等のCMSの管理パスワードが漏洩している場合はそちらのパスワードの再設定が必要な場合もあります。

Googleウェブマスターツールにご登録の場合、一度マルウェア感染が確認されたサイトに対して、新規にファイルをアップロード(サイトのクリーンアップ)後、Googleにサイトの再審査を依頼することも可能です。
Googleウェブマスターツール>サイトのクリーンアップ

メールのパスワード漏洩による不正送信

パスワード漏洩が判明したメールアカウントについてはパスワードを変更いただく 必要があります。
メールアドレスのパスワードを変更する方法を教えてください

また、メールキューが滞留していたら削除してください。⇒メールキュー欄参照
可能であればメール送受信アクセス元制限をします。⇒ファイアウォール欄参照
メール認証方法について確認してください。⇒メール認証方法
お手持ちのパソコンのセキュリティチェックも行ってください。
お客様のウェブサイト上に不正なプログラムが設置されているようなケースでは不正プログラムを削除し、FTPパスワードも変更いただく必要があります。
必要な対策を取っていただいた後は、当社にご報告いただくようお願いいたします。

メールパスワードが漏えいし、送信者を偽った状態でログインし、不特定多数のメールアドレス宛てに送信を試みる、という不正利用は多く確認されております。スパム送信元となってしまったIPアドレスは、世界に複数存在するスパム対策業者のブラックリストに登録され、特定のプロバイダから受信を拒否されるようになることももございます。
スパム対策業者宛にブラックリスト解除申請を行う必要がある場合もございます。ご不明点はサポートセンターまでご相談ください。