はじめに
本書の目的
本ドキュメントは、Webサーバーのウイルス対策について、実務で使える知識を分かりやすく整理したガイドです。単にウイルス対策ソフトを導入するだけでなく、複数の防御層や運用の工夫で被害を減らす考え方を重視します。
想定読者
システム管理者、開発者、運用担当者、または企業でWebサービスを運営する責任者を想定しています。専門知識が深くない方でも実践できるよう、具体例を交えて説明します。
範囲と構成
本書は4章構成です。第2章で重要性、第3章で代表的な攻撃やウイルスの種類を、第4章で内部対策の基本設定と運用上の注意点を解説します。各章で具体的な手順やチェックリストを提示します。
読み方のポイント
まず現在の環境を確認し、リスクの高い箇所から優先的に対策してください。小さな変更を段階的に行い、必ずテスト環境で検証してください。ログとバックアップを定期的に確認する習慣を付けると効果が高まります。
なぜWebサーバーのウイルス対策が重要なのか
1) 顧客情報と業務継続への影響
Webサーバーは顧客情報や決済データ、社内の重要ファイルを扱います。マルウェアに感染すると情報漏えいやサービス停止が起き、顧客の信用を失う危険があります。例えば決済処理が止まれば売上に直結する被害が出ます。
2) 攻撃者が狙うポイント
攻撃者はOSやミドルウェア(例: Apache、nginx、データベース)、Webアプリの脆弱性、設定ミス、盗まれた認証情報を狙います。公開サーバーはインターネットから常にスキャンされ、脆弱性があれば自動で見つかりやすいです。
3) 外部公開のリスク
Webサーバーは外部に公開しているため攻撃の対象になりやすいです。ボットによる自動攻撃やスキャンで短時間に多数の試行を受けます。放置すると簡単に侵入される可能性があります。
4) 乗っ取られたサーバーの悪用例
乗っ取られたサーバーはマルウェア配布、迷惑メール送信、DDoSの踏み台、暗号通貨採掘などに使われます。被害は自社だけでなく第三者にも及び、対応コストが膨らみます。
5) 対策の考え方(概念)
ウイルス対策ソフトだけに頼らず、複数の層で守ることが必要です。具体的には定期的なパッチ適用、最小権限の設定、強い認証(例: 2段階認証)、アクセス制限、ログ監視とバックアップを組み合わせます。これにより侵入の機会を減らし、被害発生時の影響を小さくできます。
Webサーバーを狙う主な攻撃・ウイルスの種類
Webサーバーに対する代表的な攻撃を分かりやすく解説します。攻撃の仕組みと簡単な対策を併せて説明します。
マルウェア感染(ファイル型)
攻撃者は脆弱なアップロード機能や漏れた認証情報を使い、悪意あるファイルを置きます。結果としてデータ漏えいやバックドア設置が起きます。対策はアップロード制限、ウイルススキャン、ファイル実行権限の制限です。
Webシェル設置
サーバー上でコマンドを実行できる小さなスクリプト(Webシェル)を置かれます。管理画面が乗っ取られれば設置されやすいです。対策はファイルアップロードのチェック、不要なスクリプトの削除、アクセスログの監視です。
サイト改ざん
表示内容を勝手に書き換えられ、偽情報や不正なダウンロードを配布されます。定期バックアップとファイル整合性の監視で早期発見します。
SQLインジェクション
入力欄に特別な文字を入れ、データベースから不正に情報を取り出します。入力の検証とパラメータ化されたクエリ(プリペアドステートメント)で防ぎます。
クロスサイトスクリプティング(XSS)
ユーザー入力をそのまま表示すると、別の利用者のブラウザで不正なスクリプトが動きます。出力時のエスケープ処理で防ぎます。
ディレクトリトラバーサル
“../”などを使い本来アクセスできないファイルに到達します。ファイルパスの正規化とアクセス制御で対処します。
DDoS攻撃
大量の通信でサービスを止めます。レート制限やCDN、ネットワークレベルの防御で耐えます。
これらは多くの場合、既知の脆弱性や設定ミスを突かれます。基本はソフトの更新、最小権限、入力チェックと監視を行うことです。
Webサーバーの基本セキュリティ設定(内部対策)
管理者アカウントの強化
管理者アカウント名は初期値から変更します。長くて覚えやすいパスフレーズを使い、パスワードマネージャーで管理します。多要素認証(MFA)を導入し、可能ならパスワード認証を無効にして公開鍵認証(SSH鍵)を使います。ログイン試行回数を制限してブルートフォース攻撃を防ぎます。
OS・ミドルウェアのセキュリティパッチ適用
自動更新の利用や定期的なパッチ適用を設定します。まずはステージング環境で動作確認を行い、本番はメンテナンスウィンドウで適用します。脆弱性情報を定期的に確認し、重要な修正は速やかに反映します。
不要なサービスやアカウントの削除
FTPやTelnetなど不要なサービスは停止・削除します。使わないシステムアカウントは無効化し、インストール済みパッケージは最小限にします。攻撃対象を減らすことでリスクを下げます。
アクセス権限とファイルパーミッション
最小権限の原則を適用します。設定ファイルは管理者のみ読み書きできるように(例:600)、公開するウェブファイルは必要最小限の権限(例:644)にします。ウェブサーバーのプロセスは特権の少ない専用ユーザーで動かします。
ログ管理と不審な挙動の監視
ログを集中管理し、ログローテーションと保存期間を設定します。認証失敗の増加や異常なアクセスをアラートで検知する仕組みを用意します。定期的にログをレビューして早期発見に努めます。
運用のポイント
変更前は必ずバックアップを取り、設定変更は記録します。定期的な権限見直しと侵入対応手順を用意すると、問題発生時に迅速に対応できます。
