【重要】CMSにおける不正アクセスの危険性および対策について

　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　 2013年4月17日
お客様各位
　　　　　　　　　　　　　　　　　　　　　　　　　さくらインターネット株式会社
　平素よりさくらインターネットに格別のご愛顧を賜り、誠にありがとうございます。
　昨今、WordPressやMovable Type、XOOPS 等の「オープンソースCMS」において、ブルー
トフォースアタック等による管理画面への不正ログインの事象が増えてきております。
　▼ 不正アクセスの事例
　　　・ 不正なメールの大量送信
　　　・ 情報漏洩
　　　・ コンテンツの改ざん
　　　・ 不正ファイルのアップロード（フィッシングサイト等）
　　　・ 不正にアップロードされたファイルを用いた遠隔操作
　　　・ 外部サーバへの不正攻撃
　不正ログインがなされる原因として、以下の状況となっている場合がございます。
　▼ 不正ログインがなされる原因
　　　・ ユーザ名とパスワードの問題
　　　　　- ユーザ名とパスワードが「同名または似た文字列」になっている
　　　　　- 「簡単な文字列」や「推測されやすい単語」で構成されている
　　　　　- 運用されているドメインと「同名または似た文字列」になっている
　　　　　- 他のコンテンツと「同名または似た文字列」になっている
　　　　　- 初期状態のユーザ名「admin」のまま使用している
　　　　　- 定期的なパスワードの変更を実施していない
　　　・ ご利用端末の問題
　　　　　- セキュリティソフトの導入がなされていない
　　　　　- セキュリティソフトの更新がなされていない
　　　　　- 定期的なチェックが実施されていない
　上記原因に該当する設定となっている場合は、不正ログインの対象となる可能性が
ございます。被害を受けないためにもお客様で対策を行っていただきますようお願い
いたします。
　また、プログラムのバージョンについても最新の情報に更新いただき、脆弱性を
悪用されない対策も重ねてお願いいたします。
　ユーザ名やパスワードにつきましては他者から推測されにくい文字列を設定の上、
パスワードについては定期的に文字列を変更いただきますようお願いいたします。
　▼ 推奨するユーザ名の設定
　　　・ 初期状態のユーザ名（admin）の削除を行って使用しない
　　　・ 「admin」以外の文字列で管理ユーザを作成する
　▼ 推奨するパスワードの文字列
　　　・ 記号や数字を含めたもの
　　　・ 8桁以上のもの
　　　・ ユーザ名の文字列を含まないもの
　　　・ 他のコンテンツと異なるもの
　　　・ 単語の組み合わせを使用せず、推測されにくいもの
　また、現在使用されていないプログラムがございましたら削除いただきますようお願
いいたします。
　なお、不正アクセスがなされている事象が弊社にて確認できました場合、他のお客様
への影響を考慮し、緊急措置として該当のコンテンツを停止させていただく場合がござ
いますので、予めご了承くださいますようお願いいたします。
　さくらインターネットでは、今後もよりよいサービスをご提供できますよう精一杯努
めてまいりますので、引き続き変わらぬご愛顧を賜りますようお願い申し上げます。
■本件に関するお問い合わせ
　メールアドレス：support@sakura.ad.jp