Posted in WordPress.

【ロリポップ】セキュリティを考える【大規模攻撃】

  • このエントリーをはてなブックマークに追加
NEVER

個人サイトに具体的な対策方法などを掲載しております。

こんにちは、FCめがぶーの宗岡(@pre_muneoka)です。
本日はタイトルの通り、セキュリティに関しての記事です。

大発生しているセキュリティ問題

ここ最近、企業をターゲットとした不正ログイン攻撃が頻繁に発生しています。

Yahoo! JAPAN/弊社から流出した可能性のある過去の情報について
サイバーエージェント/「Ameba」への不正ログインに関する追加ご報告

簡単に調べただけでもかなりの数の被害が出ており「セキュリティの問題」は対岸の家事ではなくなっています。そんな中、ロリポップから非常にショッキングな報告がされました。

[2013/08/29 10:57 掲載]
現在、当社が提供しているサービス「ロリポップ!レンタルサーバー」において、第三者からの大規模攻撃によりWordPressをご利用中のお客様のサイトが改ざんされる被害が発生いたしました。「ロリポップ!レンタルサーバー」をご利用のお客様には、多大なるご迷惑をおかけしており大変申し訳ございません。

現在までに当社で把握できた被害状況についてご報告いたします。

[対象のお客さま]
「ロリポップ!レンタルサーバー」のユーザーサーバーにおいて
WordPressをインストールされている一部のお客さま(4,802件)

[現在までに判明している被害状況]
大規模な攻撃によりWordPressをご利用中のお客様の管理画面から
不正アクセスにより、データの改竄や不正ファイルの設置がされた。

[対策について]
1)セキュリティ面の強化の為、上記のお客様のサーバー領域に設置されているWordPressにおいて、wp-config.php のパーミッションを「400」に変更いたしました。

本対策の対象となったお客様におかれましては、ご登録メールアドレス宛に別途、メールでも本件をご報告しておりますので、ご一読くださいますようお願い申し上げます。

wp-config.php は WordPress の動作に必要な設定情報が書き込まれたファイルです。
この変更によるサイトの動作等への影響は無いことを確認の上、変更を行っておりますが、万が一サイトの動作等でご不明な点がございましたら『お問合せ( URL:https://lolipop.jp/support/inq/ )』よりご連絡ください。

2)全ファイルに対してウィルススキャンを実行し、不正なファイルを検知した場合、パーミッションを「000」に変更いたします。

この度は調査に時間が掛かっておりますこと、また多くのお客様にご迷惑をお掛けしておりますこと深くお詫び申し上げます。
今後の状況については、引き続き、進捗があり次第ロリポップ!サービスサイト( http://lolipop.jp/info/ )でご報告してまいります。
現在のところ本日13時頃を予定しております。

出展:ロリポップ公式サイト/http://lolipop.jp/info/news/4149/

こちらのサイトのサーバーはロリポップを使用しており、なおかつWordPressで運営をしています。
非常にショッキングな出来事でした。

そのため、出来るセキュリティ強化をすぐに行いました。

各パスワードの変更

・WordPressログインパスワードの変更
・FTPパスワードの変更
・ロリポップのパスワードの変更

定期的にパスワードの変更を行っていますが、今回は報告を見た直後に変更しました。
効果があるのか…そこは疑問の余地がありますが可能な限り対策を打つべきかなと。

改ざんされている可能性があるphpファイルの確認

・.htaccess
・wp-config.php

※あくまで攻撃を受けやすいということであって今回の問題と関連があるか不明です。

サイトのウィルスチェック

複数のサービスで感染をチェックしました。
簡単な方法としてはブラウザー上でサイトのチェックが出来るgredなどがあります。

幸いチェックをしたところ問題はなさそうです。

改ざんや不正ログインに関して厳密な知識を持っていないのでこのような事件は非常に怖いものです。
さらに言えば僕のようにセキュリティの専門ではない人間がサイトを管理・運営する時代です。

正直「平和ボケ」していたなぁと猛省をするばかりです。
スマホにパソコンとネットワークは広がり「誰でにも自由にインターネット楽しめる時代」です。

それと同時に「誰もが攻撃される可能性がある時代」でもあります。
そしてネットワークが複雑に絡み合っていればいるほど被害も「個人の責任」だけではありません。
今回の事件はそういったネットワーク社会の影を見た感じがしました。

もしロリポップでWordPressを利用している方がいるなら下記の公式情報を御覧ください。

また、重要なお知らせがある方に対しては個別にメールが送信されるそうです。
ロリポップ登録時のメールアドレスをご確認ください。

では、セキュリティにはくれぐれもご注意を!

  • このエントリーをはてなブックマークに追加

サイトの人気記事もどうぞ

まだデータがありません。

Posted in WordPress.

コメントはお気軽に