フィッシングへの悪用を目的としたWebサーバーへの侵入が多数報告されているようです。対処法はずっと前から掲げられている対策ですが、なかなか実施されないようですね。
「Webサーバーへの侵入相次ぐ,目的はフィッシングへの悪用」――JPCERT/CCが警告 : IT Pro ニュース
JPCERT/CCが「予防方法」として挙げているセキュリティ対策は以下の5つ。いずれも,セキュリティのセオリーである。
(1)不要なサービスを停止する
(2)サービスを提供する範囲を制限する(アクセス制御を正しく施す)
(3)システムの運用状態を監視する
(4)ソフトウエア管理を行う(例えば,利用ソフトのセキュリティ・ホールをふさぐ)
(5)ユーザー・アカウント管理を行う(例えば,推測可能なパスワードを設定させない)
JPCERT/CCでは,情報処理推進機構(IPA)が公開する「小規模サイト管理者向け セキュリティ対策マニュアル」などを参照するよう勧めている。これ以外にもいくつか参考資料が挙げられているので,管理者はぜひ目を通しておきたい。
なお,IPAでも国内のWebサイトが侵入されて,フィッシングに悪用されたケースを確認しているという(関連記事)。インターネットに常時接続しているマシンの管理者は十分注意したい。
