ロリポップのWordPressのハッキングについて

2013.08.31

ロリポップのWordPressの大規模ハッキングが公になって数日経ちますが、ロリポップでWordPressのサイトを運営されていらっしゃる方は大丈夫だったでしょうか？

ちなみにロリポップのアナウンスによるとWordPressだけではなく他のCMSにも影響があるそうです。

[2013/08/31 03:04 追記]
2013/08/30 04:13 および 23:02 にご連絡させていただきましたとおり、ロリポップ！レンタルサーバー上にある全てのWordPressで使用しているデータベースのパスワード、および該当するデータベースを使用しているCMSの設定ファイル上のパスワードの書き換えを順次実施しております。
なお、書き換えが完了したお客様につきましては、別途メールにてご案内を送信させていただいております。

■対象
・WordPressでご利用中のデータベースパスワード
※WordPressで利用されていないデータベースは対象外となります。
・上記データベースを利用しているCMSの設定ファイル（wp-config.phpなど）

■変更箇所
・データベースパスワードの変更
・CMSの設定ファイル内の該当パスワード記載部分の書き換え

※変更後のデータベースパスワードは、ユーザー専用ページ内『WEBツール＞データベース』にて『パスワード確認』ボタンをクリックすることでご確認いただけます。

※WordPressの他に、簡単インストールを利用して設置された以下のCMSが上記データベースを使用している場合、該当のCMSの設定ファイルも自動的に変更いたします。
・Movable Type Open Source
・Sweetcron
・baserCMS
・EC-CUBE

WordPressで利用されているデータベースで、上記以外のCMSを併せてご利用の場合は、お客様ご自身で該当するCMSの設定ファイル内に記載されているデータベースパスワードの変更をお願いいたします。

被害がまだまだ拡大中ですが、私は幸いにも今のところ被害はありません。

今回のハッキングの手順をマンションの空き巣に例えると

ロリポップ不動産のWordPressマンションの各階の各部屋の玄関の鍵に空き巣用の釘を入れてガチャガチャして、
1部屋でも進入できたら今度はベランダのガラスを割って隣の部屋に移動して、
・雨戸が閉まっていれば進入しない
・ガラスなら、たたいて割れれば進入、割れなければ進入しない

※各階には数百人住んでいて、そのなかの1人でも進入されたらベランダのチェックスタート、ロリポップのWordpressマンション全体では数千万人が住んでいます。

※隣の部屋に誰がすんでいるかは基本的に住人にはわかりません。

※Wordpressマンションの各階には他のCMSの住人(MT・Sweetcron・baserCMS・EC-CUBE)も住んでいることもあります。

こんな感じなのですが、イメージできますでしょうか？

で、上の例で侵入口となる『玄関の鍵』ですが、具体的にはwp-config.phpというWordPressの管理画面にログインするために必要な情報が書いてあるファイルです。

今回のハッキングに関するロリポップのアナウンスが曖昧なのでロリポップだけの情報ではハッキングの手順・侵入経路等が不明確な部分が多少ありますが、

【最初の侵入条件】
①簡単インストールでインストールして、その際にユーザー名とパスワードを空白でインストール
②その後、wp-config.phpのパーミッションは変更していない。
③WAF（ウェブアプリケーションファイアウォール）を有効にしていない。

以上の条件に当てはまる方がハッカーの突破口、つまり最初の侵入口になった可能性が高いです。
ネットで調べれば既に多くの方が考察してくれていますので、おおまかな原因は書かれています。

ロリポップのアナウンスでは最初『WordPressの脆弱性を利用されて・・・』と書かれていますが、
WordPressの脆弱性が大元の原因ではありません。

簡単インストールでインストールされたWordPressのwp-config.phpのパーミッションの設定ミス
が最初のハッキングの原因です。

先ほど【最初の侵入条件】の補足を書きますと

①簡単インストール時にユーザー名を空白でインストールするとAdminというユーザーが作成されます。
ユーザー名がわかればパスワードをつきとめるのは比較的簡単・・・みたいです。

②簡単インストールした方のほとんどは、その後wp-config.phpのパーミッションを変更することはおそらくやらないですよね。
だって、簡単インストールって名前の通り、お手軽が売りですからね。

③WAFとはウェブアプリケーションファイアウォールのことなんですが、先ほどのマンションで例えると

WAF有効⇒1Fの入り口のとこに管理人が常駐する
WAF無効⇒管理人不在

WAFが有効か無効か・・が何気に重要だったかと思います。
WAFが有効であればwp-config.phpのパーミッションが不適切であっても侵入される確率はグッと低くなります。
※ただし、WAFを有効にすると特定の条件でWordPressのテーマ・プラグインがうまく動かないことがあります。

ロリポップのWAFに関するアナウンスでは

■ 2012年9月27日お昼 12時以前からご利用のアカウント
初期設定で WAF は【無効】になっています。

■ 2012年9月27日お昼 12時以降にお申込みのアカウント
初期設定で WAF は【有効】になっています。

となっています。

ここでセキュリティ的に重要なのはWAFが初期設定で無効となっている場合に手動で有効にしたか、ということです。
まあ別にWAFでなくてもWordPressのプラグインでファイアーウォールみたいなのがあるのでそれでも良いかと思いますが。

先の記事でも書きましたが

今回のハッキングの大元の原因が
簡単インストールのwp-config.phpのパーミッションの間違い
であることが濃厚、というかほぼ確実

になりましたが、100％ロリポップが悪いのかというとそうとは思いません。

私はロリポップではチカッパプランを利用しています。
・月額525円
・容量120GB
・MySQL30個まで
・マルチドメイン100個まで

X-ServerではX10プランを利用していて
・月額1050円
・容量200GB
・MySQL30個まで
・マルチドメイン無制限

もっと安いレンタルサーバーもありますし、もっと高いのもあります。
月額100円のレンタルサーバーもあれば、月額10000円を超えるものもあります。

SEOの観点・リスク分散の観点から私はレンタルサーバーを5～10箇所借りていますが、価格・性能・表示速度等がそれぞれ違います。

安いレンタルサーバーに高いレンタルサーバーと同等の性能・セキュリティを、ただ黙って要求するのは酷です。
安いところは何かを犠牲にしてその結果安くなるわけです。

当然削られた部分はサーバー利用者が自分でどうにかするか、諦めるか・・・ということです。

WordPressはプラグインが豊富で、当然セキュリティに関するプラグインもたくさんあります。

●自分である程度どうにか出来る人は、【できるだけ安く・できるだけセキュアに】ということを自分の好み・サイトの重要度によって選択することが可能です。

●自分じゃよくわからない・できれば業者にやってほしい人は、それなりに費用は取られますが、まるまるお任せできる業者・レンタルサーバーを利用するしかありません。

とはいっても今回のハッキングの原因が簡単インストールのwp-config.phpのパーミッションのミスと確定すれば、ロリポップの責任もあります。
その道のプロであるから対価が得られるわけで、素人がレンタルサーバーを運営するのとはちがうわけです。

仮に素人がレンタルサーバーを運営することになっても、今はググれば大抵の情報は誰でも得ることが出来ます。
日本語で書いてなくても海外のサイトを調べれば書いてあることもたくさんあります。

自分に知識・技術がなくてレンタルサーバーの技術者をしなければいけなくなったら、自分で勉強すれば短期間でそれなりの知識・技術をある程度身につけることが今日では可能です。
わからなかったら先輩・上司に教えを請うのもアリですよね。

何が言いたいかと言いますと、

今回のロリポップのハッキングに関して簡単インストールでインストールした利用者にも責任がありますが、ロリポップのレンタルサーバーの技術者はもっと努力してほしい

ということです。

逆説的なことも書きましたが、私はロリポップは嫌いではありませんので、今回の失敗を教訓にして、今後も安くて比較的セキュアなレンタルサーバーを提供し続けてもらいたいと思います。

0 Comments

Inline Feedbacks

View all comments

コメント内でのコードの貼り方