サイトの改ざんは他人事じゃない
2018-06-09 | 対策
6月7日夜、カプコンの「モンスターハンター」の公式サイトが乗っ取り被害にあい、ロシア語のページに改ざんされているというニュースがありました。
>「モンハン」公式サイト、乗っ取りか? カプコン「調査中」 サイトはメンテナンスに
(ITmedia NEWS)
画像はその改ざんされたとされるモンハン公式サイトのトップページです。
サイトが改ざんされるというニュースは毎日のように流れてまして、「あぁ、またか・・」くらいなカンジになってきていますが、これ、自分のサイトだったらと思うと結構怖いですね。
改ざんの原因は不明ですが、Wordpressでページが構築されていた
正確な情報が出ていませんので、改ざんの原因を特定することはできませんが、改ざんされたページのコードをGoogleキャッシュで見てみたら、ホームページでよく使われているCMS「Wordpress」でした。
人気CMSなので、あまり言いたくはありませんが、「JPドメイン Web改竄速報」より定期的に改ざんされたサイトのコードをチェックしていると、Wordpressで構築されたサイトの改ざんは有名サイト、無名サイト関係なく多いです。
>http://izumino.jp/Security/def_jp.html
昨年のエントリーなりますが、こちらのサイトにより詳しく載っています。
piyolog:2月初めの複数の国内サイトの改ざんについてまとめてみた
>http://d.hatena.ne.jp/Kango/20170205/1486314605
※画像は改ざんされたサイトのサンプルです。
朝見たらこんなんになってたら怖いですね。
自分のサイトはWordpressで作られているという方へ
話が長くなる前に、本題から書きますね。
Wordpressと関連プラグインについては、脆弱性がかなり頻繁に報告されています。
2018年では本日までのほんの半年で、100件以上も出ています。
脆弱性が発見された場合、大抵はベンダー(制作者)がすぐにバージョンアップ版を制作・公開しますので、それを自分のサイトに適用するということになります。
さて、ここで2つ確認して頂きたいことがあります。
1.ホームページの制作を依頼した会社とバージョンアップ等のメンテナンス契約をしているか?
2.その制作会社は脆弱性情報に積極的か、また確認・報告してもらえるか?
3.サイト公開時から同じ制作会社か?
では、1から。
Wordpressやプラグインのバージョンアップは、多くの場合「人の手」がかかります。
とくにプラグインを多様している場合は、本体のバージョンアップに対して、使用してるプラグインがその時点では不適合ということもあるため、バージョンアップ作業の前にどの程度影響が出るかを検証し、承認、作業ということになるでしょう。
コレ、納品後にず~~っとサービス(無料)でやってくれる会社なんてほぼ無いと思います。なぜなら、制作会社の商品は「人の手にかかる時間」です。常識的にムリでしょう。
ですので、メンテナンスについて特に契約等ない場合は、一度ご依頼された制作会社に相談された方がよいかと思います。
続いて「2」。
残念ながら制作会社の全てがWordpressの脆弱性を日頃から確認しているわけではありません。
今日時点での最新バージョンは「4.9.6」ですので、自分のサイトが少なくとも「4.7.2」未満で、制作会社からバージョンアップについての提案が今まで一度もない場合は、もしかしたら抜けてるかもしれませんので、ちょっと制作会社に確認したほうが良さそうです。
「4.7.2」未満のWordpressでは「緊急」とされる脆弱性が報告されています。
最後の「3」
これ、実は意外に多いかもしれません。
何らかの理由で制作会社が変わった場合など、きちんと次の制作会社へ仕様書等が引き継ぎをされていることは、経験的にほとんどないと思います。
ぶっちゃけ、制作会社変えるときは、お客様も元の制作会社にいちいち言わないですよね。
その場合、最初のバージョン管理は非常に検証時間と費用がかかると思いますが、きちんとやっておきたいものです。
メンテ費用を抑えたいなら、ご自身で定期的にチェックを
メンテナンス費用を抑えたいのであれば、ご自身で定期的にチェックを行ってください。
JVNという脆弱性対策情報ポータルサイトがあり、そこで日々様々なソフトウェアの脆弱性関連情報と対策情報が公開されています。
その「脆弱性対策情報データベース」より、「Wordpress」を検索することで確認できますので、週に一度程度チェックしましょう。
>脆弱性対策情報データベース:https://jvndb.jvn.jp/
>「Wordpress」を検索したページへのリンク(直リンなので、NGが出たら下げます)
お使いのWordpressのバージョンと、使用されているプラグイン(管理画面から確認できます)のバージョンをメモしておいて、チェックするとよいでしょう。
そこで、使用しているバージョンが載っていたら、制作会社にそのアドレスか「JVNDB-」で始まる番号を伝えてスポット対応を依頼しましょう。
全然弊社とは関係ないんですが、東京のレオンテクノロジーという会社が、Wordpress利用者のための素晴らしいサービス提供しています。ズバリ、WordPressの脆弱性をオンラインで診断してくれるサービスです。
月に一回なら無料なので、ぜひ診断してみてはいかがでしょうか。
https://wp.kyubi.jp/features/
バージョン管理だけで防げない場合も
ここからは補足ですが、WEB担当者の方なら知っておいても良いかと思います。
まず、先述の通りバージョン管理は大変重要です。しかし、「バージョン管理をしっかりしているから安全」ではありません。
1.サーバー会社の設定による改ざんの可能性
2013年にロリポップというサーバー会社の設定ミスで8428件のサイトが被害を受けました。
こちらはシンボリックリンク攻撃という手法だったようで、利用者側では防ぐことが難しいものだそうです。
参考)ロリポップのサイト改ざん事件に学ぶシンボリックリンク攻撃の脅威と対策
https://blog.tokumaru.org/2013/09/symlink-attack.html
2.制作会社からFTP情報が漏洩する可能性
2010年に「ガンブラー」というウィルスが蔓延し、制作会社からホームページのデータが置いてあるサーバーへ接続するソフト(FFFTP)のパスワードが抜き取られ、その情報から不正にサーバーへ接続、改ざんという実被害が発生しました。これも、制作会社に依頼している方では防ぎようがありません。
参照)https://forest.watch.impress.co.jp/docs/news/346056.html
現在、このタイプの攻撃は聞かなくなりましたが、同じような出来事がいつ起こっても不思議ではありませんね。
最後に
Wordpressは機能も豊富で人気のCMSなんですが、プラグインはできる限り少なくしたほうが、速度面でもセキュリティ面でも、メンテナンス面でも良いかと思います。
最低限バージョン管理は行ってください。
気持ちは分かりますが、少なくともWordpressやJoomla!等のCMSや、EC CUBEを使用されているのであれば、必要と思います。
この先どんどんセキュリティ対策が叫ばれ、避けて通れない時代になりますよ。
