GMO(ロリポップ)その他で今日も激しくサイト乗っ取りが横行している件で(追記あり)
28日ごろから話題となったインターネットサービス「ロリポップ」などの乗っ取り事件、いまだちゃんとした報告もないので微妙なんですが結構おおごとになりそうなので取り上げてみました。
山本一郎です。私の急所へのサイバー攻撃はまだでしょうか。
ところで、28日頃から始まったと見られるレンタルサーバーサービス「ロリポップ!」への大規模サイバー攻撃の余波がまだ収まりません。
運営会社からは「被害拡大の防止を最優先」として各種の対策を進めているという主旨で告知されています。
当社サービス「ロリポップ!レンタルサーバー」ユーザーサイトへの第三者による大規模攻撃について(paperboy&co. 2013/8/30)
「ロリポップ!レンタルサーバー」への攻撃に関し、ITニュースサイト等でも同事件の経緯がまとめられ色々と報じられています。
被害拡大の防止を最優先として、現在、先にご報告させていただいた各対策を進めております。paperboy&co.
ロリポップのレンタルサーバでWeb改ざん、WordPress管理画面への不正アクセスで(@IT 2013/8/29)
「ロリポップ!」の改ざん、8000件超に - プラグインやテーマの脆弱性が原因(Security NEXT 2013/8/29)
ロリポップでWordPressの改竄が拡がった理由(不意になにかを残すブログ 何かをメモる場所として。 2013/8/30)
なおpaperboy&co.は、被害を受けたのはWordPressを運用しているユーザーサーバであり、ロリポップ!のサーバ自体に対するハッキングなどの事実は確認されていないと説明している。@IT
問題の不正ファイルを利用することで、WordPressの設定ファイルから情報の窃取が可能となり、データベースの書き換えや改ざんを行われたことを原因として挙げた。具体的なプラグイン名やテーマ名には言及していない。Security NEXT運営側としては、あくまでもWordPressに起因した不正アクセスであり、サーバ運用に関しての不備はないという見解のようですが、そうであればもう少し具体的な情報開示があっても良いのではないかと感じます。何か隠している感じがぷんぷんと漂う香ばしい事案となっております。
今回の騒動の症状としては「ウィジェットを設置された」「サイト名を書き換えられた」という内容なので、これは単純に考えればDBへ不正にアクセスすれば可能になる攻撃なのでWordPressの問題ではないだろうなと予測できます。
ただ、大本営から詳細が出ない限りはどれも推測なんですよね。
類似事件を防止するためにも、どこから誰がどのような攻撃をしかけてきたのか、その詳細は早いタイミングで明らかになることを望みます。このままでは、同様なサービスを提供している事業者で第二、第三の被害が発生する可能性もあり得るわけですから。
性質的に各ファイルのパーミッションを管理できている人はそこまで神経質にならなくても大丈夫なのだろうと思いつつも、あまりにもGMOからきちんとした説明がないため、DBで全ユーザー共通のアカウントパスワードが使い回されていたのでは、と邪推する声もでかねません。
さらに、そうこうしているうちに、同じようなタイミングで今度はヤフーの社内情報流出という事件が起きていました。
弊社から流出した可能性のある過去の情報について(ヤフー 2013/8/29)
いずれの情報も15年以上前のものと推測される内容で、過去のどこかの時点で社外に流出したものが公開されていた可能性があります。ヤフー15年前の情報が今さらなぜ晒されるのか意味不明であり、単なる愉快犯的なものなのかもしれませんが、一方で2ちゃんねるの情報流出の直後でもあるため、そこに何らかの関連したメッセージでもあるのかと勘繰ってしまうのは小説の読み過ぎでしょうか。
このほかにも不正アクセスによる情報流出はほぼ日常茶飯事化しております。
「@PAGES」でユーザー情報流出2月までに登録した全員のパスワードなど(ITmedia 2013/8/28)
アットフリークスは8月28日、Webサイトホスティングサービス「@PAGES」で、ユーザーのメールアドレスやパスワードなど個人情報が流出したと発表した。今年2月27日までに登録した全ユーザーが対象。流出の経緯や数は明らかにしていない。ITmedia先日も「緊迫するシリア情勢の余波がネットにも襲いかかる時代」というブログ記事を書いたばかりですが、ネット上の安全性はもはや手軽に手に入る代物ではなくなりつつあることを痛感せざるを得ません。その一方でスマホの普及なども手伝ってネットへのアクセスはどんどん手軽になっています。この辺りの落差が今はかなり危ないことになりつつあるのですが、さてどうやって周知すべきか課題は限りなく大きいと感じる次第です。
最後に癒し系のまとめがあったので置いておきますね。
ハッキングされてると教えた親切な人にGMO熊谷社長が「風説の流布」だとぶちギレた結果wwwwww(IT速報 2013/8/30)
@Isseki3 はじめまして。ロリポップ!公式アカウントです。上記ブログ記事に関しまして、現在、ロリポップ!サーバーへのクラック等の事実はございません。つきましては、お手数をお掛けして恐れ入りますが、その旨を記事に追記していただくことは可能でしょうか。ロリポップ!レンタルサーバー
風説の流布になりますよ。事実を確認してからツィートしてください。そのような事実はありません。RT @isseki3:...
熊谷正寿
【重要】WordPress のID とパスに脆弱な文字列を使用している場合に管理画面へ不正ログインされる事例を多数確認してます。不正利用を防ぐために対応をお願い致します。弊社サービスへのハッキングの事実はありません。ご安心を。熊谷正寿ご安心どころか、状況が状況ならサービス全面停止の上に賠償金請求されかねない重大な局面に到ってなお、事実を確認しないまま風説の流布になると強弁する熊谷社長の鉄の心臓に乾杯したいと思います。まあ、気持ちは分かりますけどね。
追記(30日16:10)
その後Twitter上でかなり核心を突いた情報が発信されておりましたので、ポイントなるツイートをそのまま以下にご紹介しておきます。
ロリポの発表、嘘だな。侵入経路分かった。isidai
ただし、ロリポは今回の穴をちゃんと塞ぐように対策とってる。isidai
あと、ワードプレスは全く関係ないisidai
サーバのパーミッション問題で決着だと思う。 pic.twitter.com/nhAjMFR8edisidai
ロリポは今回の対策は適切である。ただし、発表をWordPressのプラグインやテーマの脆弱性のせいにして発表しているのは嘘。isidai
あと、改ざんにあった人はまだリスクがあって、追加の対策が必要だと思う。これは後ほど公表します。isidai
ロリポには 責任と原因をもっと明確に と伝えました。情報が少なすぎて、誰の話も憶測の域を出ないからね。isidai