Update:「ロリポップ」でWeb改ざん、8438件でデータ改ざんや不正ファイル設置:説明二転三転、根本的な原因は「パーミッション設定の不備」と
paperboy&co.は2013年8月29日、個人向けレンタルサーバサービス「ロリポップ!レンタルサーバー」が第三者からの攻撃を受け、「WordPress」を利用している一部の顧客のサイト、4802件が不正アクセスの被害を受け、改ざんされたことを明らかにした。
paperboy&co.は2013年8月29日、個人向けレンタルサーバサービス「ロリポップ!レンタルサーバー」が第三者からの攻撃を受けたと発表した。同サービスでCMSの「WordPress」を利用している一部の顧客のサイト、4802件が不正アクセスの被害を受け、改ざんされたという(追記:同社は29日19時33分に追記を公開。4802件に加え、新たに3636件の被害を確認し、計8438件で被害が確認されたことを明らかにした)。
同社はその前日、ログインIDとパスワードに脆弱な文字列を利用している場合、WordPressの管理画面に不正にログインされる事例を多数確認したとし、「IDとパスワードを特定されにくい文字列に設定する」「設定ファイル『wp-login.php』へのアクセス制御を実施する」といった対策を取るよう呼び掛けていた。今回の不正アクセス被害は、こうした管理画面からの不正ログインによって、WordPressで運用しているサイトでデータの改ざんや不正ファイルの設置がなされたという。
paperboy&co.では対策として、顧客のサーバ領域に設置されているWordPressにおいて、設定ファイル「wp-config.php」のパーミッション(アクセス献言設定)を、管理者のみ読み込み可能な「400」に変更した。同時に全ファイルに対してウイルススキャンを実行し、不正なファイルを検知した場合は、ファイルに対して何も操作を行えないようパーミッションを「000」に変更するとしている。
なおpaperboy&co.は、被害を受けたのはWordPressを運用しているユーザーサーバであり、ロリポップ!のサーバ自体に対するハッキングなどの事実は確認されていないと説明している。
(8月30日追記) paperboy&co.は8月29日22:40に公表した追記の中で、一連の改ざんの原因について、「WordPressのプラグインやテーマの脆弱性」を挙げた。脆弱性を付いて不正なファイルがアップロードされ、wp-config.phpの設定情報が抜き出されることにより、データベースが書き換えられ、改ざんにつながったという。これを踏まえ、「WordPressで使用しているデータベースのパスワード、および該当するデータベースを使用しているCMSの設定ファイル上のパスワードの書き換え」「WAF(Web Application Firewall)の有効化」といった対策を講じているという。なお同社は、当初、原因を脆弱なパスワード設定による管理画面への不正アクセスと説明していた。
(8月30日追記その2) paperboy&co.は8月30日19:13にさらに説明をアップデートした。WordPressのプラグインやテーマの脆弱性を悪用されて不正侵入を受けた上で、「当社のパーミッションの設定不備を利用」されたことが原因であると明記している。
Copyright © ITmedia, Inc. All Rights Reserved.
関連記事
- CMSが狙われる3つの理由
今回のコラムでは、ラックのセキュリティ監視センター、JSOCでもたびたび観測しているCMSを狙った攻撃の状況とその対策について解説します。 - 標的は「admin」のユーザー名、WordPressを狙う攻撃激化
オープンソースのブログプラットフォーム「WordPress」のパスワード破りを狙った大規模なブルートフォース(総当り)攻撃が発生している。