株式会社 Joe'sクラウドコンピューティング

SSH接続には鍵認証を利用しよう

VPSやクラウド環境などを利用する際に、SSH接続を使用することがあります。SSHはサーバーにリモート接続するためのプロトコルですが、一般的に利用されるパスワード認証ではOSのユーザ情報を利用するためセキュリティ的に十分とはいい難い状態です。

SSH認証の種類

パスワード認証方式

OSのユーザ情報を利用して接続を行うため、簡単にリモート接続を開始できます。暗号化されている環境ではありますが実際にパスワードを入力するため、パスワードが盗み取られる可能性は0ではありません。また、パスワードを不正に入手された場合、不正利用されることとなります。

公開鍵認証

パスワードを入力する事がないため、パスワード認証方式よりも安全です。しかし、接続する端末に鍵を配布する必要があるためパスワード認証方式に比べ導入に手間がかかります。

公開鍵認証の鍵作成、接続方法は下記をご参照ください。

SSH公開鍵認証を実装する:Qiita

Joe’sでは公開鍵認証をお勧めします。

Joe’sのVPSではサーバーお渡し時に、SSHの設定を変更しており、パスワード認証を無効化し、秘密鍵とセットで納品しております。

また、専用サーバー、共用サーバーではコントロールパネルより簡単に鍵の作成、登録が行えます。cPanelでの操作は下記の流れとなります。

1. cPanelのメニューからSSHアクセスをクリックする。

2. 新しいキーの作成をクリックする。

3. KeyName、パスワードなどを入力する。

4. 公開鍵の管理をクリックし、「Authorize」をクリックしてサーバーに鍵を登録する。

5. 秘密鍵を利用する端末にダウンロードする。

以上で鍵の作成、登録は完了です。

SSH公開鍵認証を利用して、安全にSSH接続しましょう。

▼サポートセンター▼
https://support.joeswebhosting.net/
▼お電話▼
0120-087-388
受付時間 10:00～17:30 (平日)

Joe’s Catオススメニュース！

Bluetoothに乗っ取り可能な脆弱性、影響を受ける機器は50億台以上

2017年9月14日、トレンドマイクロは自社のブログで「脆弱性『BlueBorne』、Bluetooth機器の乗っ取りを可能に」と題する記事を公開しました。イヤホンやフィットネス機器への搭載でBluetoothは身近な規格になってきています。パソコンだけでなく、スマートフォンの対策忘れずに行いましょう。

Bluetoothに乗っ取り可能な脆弱性、影響を受ける機器は50億台以上：is702

Google検索にインターネット回線速度チェック機能が追加

Google検索にインターネット回線の速度チェック機能が追加されました。Google検索で「スピードテスト」と検索するとトップに速度テストのアプリケーションが表示されます。回線のスピードが気になったら「スピードテスト」と検索してみましょう。

スピードテスト：Google

▼サポートセンター▼
https://support.joeswebhosting.net/
▼お電話▼
0120-087-388 (フリーダイヤル)
受付時間 10:00～17:30 (平日)

アクセス解析を活用してアクセスアップ！

ネットショップやWebサイトをお持ちの方は、なかなか増えないアクセスに苦悩されている方もいらっしゃるかと思います。アクセスを増やしたいのであれば、アクセス解析とSEO対策に取り組むことが重要です。今回はアクセス解析の重要性についてご説明致します。

アクセス解析とは？

アクセス解析とは、アクセスカウンターのような総アクセス数だけではなく、Webサイトに訪問した人がどこから訪れたのか、どんなキーワードで検索して訪れたのか、また、滞在時間やページの閲覧数などさまざまなデータを取得して解析することです。

アクセス解析は、一般的にツールを使ってデータを取得しますが、具体的にどのようなデータを取得できるかご紹介致します。

次にこれらのデータを取得し、どのようなことが読み取れるかご紹介致します。

アクセス解析を活用しよう！

Webサイトにアクセス解析を設置し、ユーザがどういった経路で訪れ、何を求めているのか知ることができると、運営しているWebサイトの強みや改善点などが見えてきます。無料で使えるアクセス解析もたくさんあるので、まずは試験的に導入してみることをお勧めします。アクセス解析ツールを上手く活用し、アクセスアップに役立たせていきましょう。

▼サポートセンター▼
https://support.joeswebhosting.net/
▼お電話▼
0120-087-388
受付時間 10:00～17:30 (平日)

EV SSL証明書で「安全」を提供しよう！

SSLサーバー証明書は、

• ドメイン認証証明書
• 実在認証証明書
• EV SSL証明書

の3種に分けることができ、「ドメイン認証 → 実在認証 → EV SSL」の順に認証レベルは高くなります。

今回は、最も認証レベルの高いEV SSL証明書について、ご紹介させていただきます。

EV SSL証明書とは？

世界有数の認証局と、Microsoft、Mozilla、Opera等のインターネット・ブラウザベンダより組織される、CA/Browserフォーラムが定める規格を満たした証明書です。

特徴１　グリーンバーで安全性アピール
「EV SSL証明書」を使用しているサイトでは、SSL通信が行われているページのアドレスバーが緑色になり、その部分にサイトを運営している組織の社名を表示することができます。この表示を確認することで、EV SSL証明書が導入されているサイトかどうか、すぐに判断でき、サイト訪問者により強い安心感を与えることができます。SSL証明書でグリーンバーが利用できるのは、EV SSL証明書だけです。

特徴２　厳格な審査
EV SSL証明書は、世界標準の厳格な認証ガイドラインがあり、証明書に記載される組織が、法的かつ物理的に実在し、また、その組織が証明書に記載されるドメインの所有者であることを確認したうえで発行されています。

EV SSLをもっと有効活用しよう！

ドメイン認証や実在認証では、サイトシール等の機能はありますが、基本的に証明書の種別（ドメイン認証や実在認証）で直接的にユーザーへの訴求方法を変えることはできませんでした。しかしながら、EV SSL証明書を使うことで、「グリーンバー」による、ブラウザインターフェース上での変化を起こすことができ、ユーザーに対して一目で他のサイトとは違うと分かる＝差別化を行うことが出来ます。さらに、差別化に加え、あなたのサイトがセキュリティに配慮してることがひと目わかってもらえるので、セキュリティに対する取り組みをアピールできる大きなポイントになります。

EV SSLは、お客様の安全を守るだけではなく、セキュリティ対策をアピールする手段として最も有効な証明書であるといえます。

弊社では、主要なSSLブランドであるシマンテック・ジオトラスト・サイバートラスト・グローバルサイン・コモドのEV SSL証明書を取り扱っております。中でもサイバートラストのEV SSL証明書は月払可能ですので、キャンペーンなど短期間のご利用や初期費用を抑えたいお客様に最適です。ご質問、お見積もりのご依頼等ございましたら、下記のサポートサイトよりお気軽にお問合せください。

Joe’s SSL市場
https://www.joes-ssl.com/
▼サポートセンター▼
https://support.joeswebhosting.net/
▼お電話▼
0120-087-388
受付時間 10:00～17:30 (平日)

10月にリリース予定のGoogle Chrome 62でますます必要になるSSL証明書

Google Chromeをお使いの方は、アドレスバーに「保護されていません」というセキュリティ警告が表示されているのを見たことがあるのではないでしょうか。この表示は、2017年1月リリースのChrome 56以降、パスワードやクレジットカード情報の入力を求める箇所があるウェブサイトが、HTTPSに対応していない場合に表示されているものです。
 
Google社は、2017年10月リリース予定のChrome 62で、セキュリティ警告を強化すると発表しています。
 

Google Chrome 62で変わること

 
具体的には下記の場合にセキュリティ警告が表示されると発表しています。
 
・テキストボックス等、入力欄のあるHTTP接続のみ対応のウェブサイトを表示した場合
・シークレットモードでHTTP接続のすべてのウェブサイトを表示した場合
 

SSL証明書を導入しよう

 
2017年10月まで約1か月しかありません。「私のウェブサイトは、パスワードもクレジットカード情報も入力しないので、まだ関係ないわ。」とSSL証明書の導入を先延ばしにしている方、導入を検討しているがどれを選んでいいかわからないと迷われている方、改めてSSL証明書について考えてみませんか？
 
弊社では、即日発行可能で安価なドメイン認証タイプの証明書から、セキュリティ警告が表示される箇所に社名を表示させることのできるEV認証タイプのものまで、6ブランド22プランを取り扱っております。あなたに最適なプランをご提案させていただきますので、お気軽に弊社までご相談ください。
 
関連記事
・サイト訪問者に信頼されるSSL証明書の選び方
・常時SSL化はお済みですか？

 
Joe’s SSL市場
https://www.joes-ssl.com/
▼サポートセンター▼
https://support.joeswebhosting.net/
▼お電話▼
0120-087-388
受付時間 10:00～17:30 (平日)

CMSの脆弱性とサイト改ざんの危険性について

CMSを導入してウェブサイトを構築後、サイトの更新だけでなくCMSの更新も行っていますか。

CMS(Content Management System)とは

CMSとは簡単にウェブサイトが構築できるように作られたプログラムのことで、WordPressやMovableType、osCommerce、EC-CUBE等々管理画面から簡単にウェブサイトや商品登録ができるようなシステムです。

CMSの脆弱性とは

どれだけ慎重に作られたプログラムであっても、悪意のある攻撃者にとっての突破口が存在することがあり、不正にファイルを設置して、不正メールを送信したりフィッシングサイトを設置したりといったサイトの改ざん、データベースの情報を読み盗ったりする情報漏えいなどの危険性が存在します。

脆弱性の例

クロスサイトスクリプティング脆弱性

CGIやウェブアプリケーションへのアクセスの際にPHPなどのプログラムによって自動で作成されるページに対して、入力された情報を適切に処理していないため、ページを開いた際に本来意図していないプログラムが実行される脆弱性です。

SQLインジェクション

プログラムの外部入力に対する設定の不備でデータベースの情報を変更したり、取得したりできる脆弱性です。

コードインジェクション

プログラムの構造に誤りがあり、特定のリクエストを送ることで任意のプログラムが実行できる脆弱性です。

脆弱性の実例

クロスサイトスクリプティング脆弱性の実例

JVNDB-2012-000005
osCommerce におけるクロスサイトスクリプティングの脆弱性（脆弱性対策情報データベースJVN iPedia）

2012年に報告されたosCommerceの脆弱性で、悪意あるリンクを埋め込んだoscommerceのサイトを開くと自動的に不正なプログラムが実行されてしまい、マルウェア感染や情報搾取などが発生しました。

SQLインジェクションの実例

JVNDB-2007-006098
WordPress および MU における SQL インジェクションの脆弱性（脆弱性対策情報データベースJVN iPedia）

2007年に報告されたWordPressの脆弱性で、悪意ある第三者により自由にデータベースを操作されてしまい、ログイン情報の漏洩やサイトの改ざんなどが発生しました。

コードインジェクションの実例

JVNDB-2013-000062
EC-CUBE におけるコードインジェクションの脆弱性（脆弱性対策情報データベースJVN iPedia）

2013年に報告されたEC-CUBEの脆弱性で、悪意ある第三者により任意のプログラムが実行され、不正ファイルの設置や不正メール送信、サイトの改ざんなどが発生しました。

サイトの改ざんを防ぐために

まだまだいろいろな問題例がありますが、一旦脆弱性を悪用され、改ざんや不正メール送信などが発生してしまうと、サイトそのものの信頼性がなくなってしまうため、集客や会社の信頼そのものにも影響を与えかねません。このような状況を引き起こさないために必要な措置はただ一つ、使用しているCMSを常に最新の状態に保つことです。最新の状態であればサイトの改ざんなどにつながる脆弱性は少なく、また最新のものはそういった不具合を修正してリリースされるため更に安全に快適にご利用いただけるようになります。

プログラムの更新方法について

多くのCMSでは自動的に、もしくは手動で更新できるようなシステムが管理画面に備わっています。管理画面からコミュニティサイトなどへのリンクもあり、そういった場所から最新の情報を入手できます。またシステムのバージョンなどによってアップデートが出来ない場合もありますので、その場合は弊社サポートまでお問い合わせください。最新のシステムへの移転をご案内させていただきます。

お問い合わせ先

▼サポートセンター▼
https://support.joeswebhosting.net/
▼お電話▼
0120-087-388
受付時間 10:00～17:30 (平日)

Joe’s Cat トピックス

大規模ネットワーク障害発生

2017年8月25日に国内で大規模な通信障害が発生し、一部のサーバーやウェブシステム、ネットゲームなどに大きな影響を与えました。原因はGoogle社が間違った経路情報を上位回線に広報し、8分後に修正されましたが、誤った経路情報が一時的に上位ネットワークに流れた結果、国内の一部ネットワークの通信が遮断、錯綜したためで、現在は収束しております。

国内で大規模な通信障害発生、OCNやKDDIが案内
米Googleが経路情報の誤設定を認め、謝罪コメント～25日のネット障害の原因に

Appleの偽メールにご用心

 

Apple社を騙る偽メールが蔓延しているようです。送信元アドレス以外はいかにもApple社からのメールのような体裁で「あなたのアカウントは一時的に無効になっています」といった文面で誤クリックを誘いApple IDやクレジットカードの情報を盗もうとするようです。「急いで」「24時間以内」といった文面に惑わされずに正しい送信元か確認を行いましょう。
突然の「Apple IDが無効」メールに要注意

ドローンやVR機器は超音波に弱い

最近では色んな分野で活躍するドローンや、これからのゲームやアクティビティを担うVR機器の意外な脆弱性が明らかになりました。加速度センサーはドローンやVR機器の中核となる装置ですが、超音波を加速度と勘違いして誤作動を起こすことがあるそうです。ネットワークを利用した乗っ取りではなく物理的に操作されてしまうのは想定外と言えそうで、特にクリティカルな現場では対策が必要になるかと思います。
ドローンやVR機器は超音波に弱い、中国アリババの研究者が実証

フィッシング詐欺の豆知識　～手口編～

フィッシング詐欺とは？

実在する金融機関や企業になりすまして利用者から、IDやパスワード、クレジットカード番号や、個人情報、財産や企業秘密を盗み取る

インターネット上の犯罪です。

またこのような行為を行う者を「フィッシャー」と呼びます。

フィッシング詐欺の手口

・偽サイトへの誘導
実在する銀行やクレジットカード会社、オンラインショップサイトなどを装いフィッシングメールを送りつけます。
メールには偽WebサイトへのURLリンクがあり、偽サイトへ誘導して個人情報を入力させて、盗もうとします。

・送信プログラム添付型
ウイルスファイルを添付したメールを送りつけます。
ファイルを開くと、ネットバンキングなどを装った、送金手続きに必要な契約者番号やパスワードの入力を促す画面が現れ、個人情報を盗もうとします。

・HTMLメール送信型
HTMLを使い、本物のサイトのような情報の入力画面をメール本文に表示し、送金手続きに必要な個人情報等を入力させようとします。

・検索サイトからの誘導
GoogleやYahoo!などから検索をした時に、上位に表示されたページがフィッシングサイトという場合があります。
URLを直接入力した際のスペルミスによるアクセスを狙った、詐欺サイトへアクセスしてしまう場合もあります。

・ウイルス感染で誘導
ウイルスに感染した端末で銀行などのサイトにアクセスすると、正しいサイトにアクセスしているにも関わらず、偽のログイン画面が表示されてしまうので見抜くのは困難です。

・フィッシングアプリから誘導
スマートフォンアプリにも注意が必要です。本物そっくりの偽アプリや、実在するアプリの便利機能などを装ったアプリが出現してきています。
SNSへのログインや、個人情報を入力させようとして情報を盗みます。

・SNSや掲示板で偽サイトを拡散
FacebookやTwitter、その他の掲示板に、偽サイトへアクセスさせる書き込みをして、『いいね！』や『シェア』を募ります。
友人の友人などへ広まりやすいのが特徴です。
自動的で表示される広告なども、詐欺サイトであるケースがあります。

・上手い話やキャンペーンを装う
ダイレクトメールなどを装い、偽サイトで買い物をさせようとします。
そこで買い物をすると、入力したカード番号や住所は悪用され、商品が届かなかったり、違う商品が届いたりします。
実在するイベントへの参加申込みを装ったページで、個人情報を入力させる手口もあります。

次は、「フィッシングの豆知識　～見分け方・被害にあったときの対処法編～」です。
フィッシングの見分け方と被害にあったときの対処法についてご説明します！
https://joes.co.jp/20170825-002/

▼サポートセンター▼
https://support.joeswebhosting.net/
▼お電話▼
0120-087-388
受付時間 10:00～17:30 (平日)

フィッシング詐欺の豆知識　～見分け方・被害にあったときの対処法編～

フィッシング詐欺かも！見分け方を伝授します！

SSLサーバー証明書が導入されているホームページかどうか確認する
重要な情報の入力画面では、盗聴やなりすましを防止するため「SSLサーバー証明書」がセキュリティ対策として使用されています。詐欺サイトではこのSSLサーバー証明書を利用していないことが多いため、毎回、確認を行ってください。

SSLありの安全なサイトの判断方法
・URLが「http://」からではなく「https://」からはじまる
・WebブラウザのURL表示部分（アドレスバー）や運営組織名が緑色の表示になっている
・鍵マークが表示されている

●以下のケースに当てはまる場合は、フィッシング詐欺の可能性を考慮してください。
・パスワードや情報を入力した後の画面がいつもと異なる
・入力してもエラーになる
・間違ったパスワードを入力してもログインができてしまう
・ログインするとトップページに移動する
・金融機関やクレジット会社から、メールで個人情報の確認や口座番号や暗証番号の入力を促すメールがきた
・メールの文章や言葉使いにおかしな点があったり、不自然な日本語が使われている

●「重要」「緊急」「セキュリティ」など不安を煽る表現で情報を入力させる等、急を要する内容が記載されていても、一度周りの人にも確認してみましょう。

商品の値段が安すぎる
通常よりもずっと安い価格を表示したり、「期間限定」など急かすことで購入させて、情報を入力させる方法です。ショップが実在しているか、所在地、連絡先などをしっかり確認してから利用してください。

メールに電子署名がついているか確認する
銀行などからのメールには、改ざん防止のため電子署名（デジタル署名）がついていることがあります。通常、フィッシングメールに電子署名はついていません。

リンク先のURLを確認する
メールでは、表示するURLと実際のリンク先を偽って表示することができます。ブラウザやメーラー上で、マウスカーソルを該当のURLに合わせて、画面上に表示させることで、実際のURLを確認できます。スマートフォンでは、URLをタップではなく長押しすることで確認が可能です。

個人情報を送信してしまったときの対処法

インターネットバイキングのアカウントやパスワードを送信してしまった場合

・被害にあった口座の銀行に連絡
個人口座について、口座所有者自身に過失が無い場合は補償されます。

【主な銀行のお問い合わせ先】

三菱東京UFJ：　0120-111-082
住友三井銀行： 0120-56-3143
みずほ銀行：　0120-324-878
りそな銀行：　0120-01-7820
ゆうちょ銀行：　120-992-504

問い合わせ先が不明な場合は、口座を持っている支店に電話をしてみましょう。

インターネットバンキングのパスワードや暗証番号の変更も必要になってくるので、聞いてください。

金銭被害があった場合は、サイバー犯罪相談窓口に連絡してください。
【フィッシング110番　サイバー犯罪相談窓口】
https://www.npa.go.jp/cyber/policy/phishing/phishing110.htm

国民生活センターや消費生活センターにも相談してみましょう。

クレジットカード番号の情報を送信してしまった場合

すぐにクレジットカード会社に連絡してください。クレジットカードの裏に書いてある電話番号か、Webサイトに専用の連絡先が書いてあります。

WebサービスのID、パスワードを入力してしまった場合

すぐに本物のサイトにログインし、パスワードを変更してください。アカウントの乗っ取りでサイトにログインできない場合には、「パスワードを忘れた場合」などからパスワードの再発行及び変更を行ってください。

金銭被害があった場合

サイバー犯罪相談窓口に連絡しましょう。同じパスワードの使っている場合、該当のアカウントのパスワードを変える必要があります。

フィッシング詐欺に気付くのは、実際に被害にあってからがほとんどですが、焦らずに冷静に対処していくことが重要です。

Joe’s SSL市場では、実在認証やEV認証といって、信頼性の高い証明書を取り扱っています。
最適なSSL証明書プランをご提案させていただきますので、サービスについてご不明な点等がございましたら、お気軽にお問い合わせください。

▼Joe’s SSL市場▼
https://www.joes-ssl.com/

▼サポートセンター▼
https://support.joeswebhosting.net/
▼お電話▼
0120-087-388
受付時間 10:00～17:30 (平日)

SPFでなりすましメール送信を防ごう

Eメールは仕事でもプライベートでもまだまだ利用する機会が多いサービスです。EメールはSMTPというプロトコルを利用してメールのやり取りを行いますが、SMTPでは、送信元メールアドレスを自由に設定することができます。通常自分以外のメールアドレスを設定することは無いかと思いますが、この仕様を悪用すると、「なりすましメール」を送信することができてしまい、迷惑メールに利用されてきました。SPFを利用すると送信元メールアドレスを偽ることを防ぎ自分のドメインから「なりすましメール」を送信できないようにすることができます。
 

SPFとはなにか

 
ここからは少し技術的なお話になりますが、SPF(Sender Policy Framework)は意図しないサーバーからの「なりすましメール」送信を防ぐ送信ドメイン認証技術です。
認証にはDNSを利用して行います。送信元メールのドメインのDNSゾーンにSPFレコードという情報を追加します。SPFレコードの内容は、自分のドメインのメールアドレスを送信元として設定できるサーバー情報です。
 

SPFの設定方法

 
送信元ドメインのゾーン情報にSPFレコードかTXTレコードで追加します。SPFは下記の形で記入します。

バージョン　空白　定義　空白　定義　…

例えばjoes.co.jpのメールサーバーのIPが1.1.1.1だった場合には下記のような形で設定します。

joes.co.jp. SPF "v=spf1 ip4:1.1.1.1 -all"
joes.co.jp. TXT "v=spf1 ip4:1.1.1.1 -all"

v= SPFのバージョンを定義
ip4 許可IPを設定
- 許可しないサーバーを設定します。

SPFレコードは対応していないDNSサーバーもありますので、上記のようにSPFとTXTを同時に設定するかTXTレコードのみを設定しましょう。
定義や書き方については下記のサイトでも解説されています。
http://salt.iajapan.org/wpmu/anti_spam/admin/tech/explanation/spf/#40

近年では、SPFが設定されていないドメインのメールを拒否するサーバーも出てきています。
SPFを適切に設定し、安心してメール利用できるようにしましょう。
 

Joe’sのサーバーでの設定方法

 
Joe’sの殆どの共用サーバー、専用サーバーでは、cPanelから簡単にSPFレコードを設定できます。
cPanelにログインし認証のアイコンから数クリックで設定が完了しますので、弊社サーバーを御利用頂いているお客さまはぜひご活用ください。
 

server51.joeswebhosting.netでの設定例

 

cPanelログイン画面から認証をクリック
 

SPFの欄の有効にするをクリック
※cPanelのバージョンにより画面が異なる場合があります。
 
▼サポートセンター▼
https://support.joeswebhosting.net/
▼お電話▼
0120-087-388
受付時間 10:00～17:30 (平日)