ロリポップ 大規模サイト改ざん事件

ロリポップ(WordPress利用者)への「大規模なサイト改ざん事例」から、lolipopの緊急時対応を評価してみる

「2013/08/29」に発覚した『第三者による、ロリポップ(Wordpress利用者)への大規模なサイト改ざん事例』

ロリポップのユーザーであれば、誰もがご存知でしょう。
当ブログも、事件が起きた2013年8~9月頃は、普通にロリポップを利用していました(当ブログは、運良く被害に遭わなかったですが)

被害状況を、ザッとまとめると

  • 【被害を受けたユーザー】 : WordPress を利用している一部のユーザー
  • 【サイト改ざんの内容】 : サイトタイトルに「Hacked by Krad Xin」が含まれ、サイトのキャッチコピーが「BD GREY HAT HACKERS」になっている。また、文字化けもしている
  • 【被害件数】 : 8,438件

【被害を受けたサイトの画面1】

ロリポップ事件 改ざんされたサイト1

【被害を受けたサイトの画面2】

ロリポップ事件 改ざんされたサイト2

もし、自分のブログが急に「文字化け」し、サイトタイトルが「Hacked by Krad Xin」となってたら、、、想像するだけでゾッとします。

特に、バックアップをとっていなかったり、復旧手順が不明であった場合はパニックになるでしょう。

このような緊急時の時こそ、レンタルサーバー提供会社の価値を評価する事ができます。

要は、緊急事態が発生したら、早期に原因を究明し、的確な対策案を提示する事。かつ、ユーザー(利用者)の混乱を抑え、安心感を高めるような情報共有(報告)を的確におこなう事。

これらが出来れば、「レンタルサーバー提供会社の対応力・サポート力の高さ」が評価できるでしょう。

システムというのは ”必ず脆弱性が存在” します。なので必然的に「緊急事態」が発生する可能性はあります。

ですので、ユーザー(利用者)として重要なのは「緊急時において、質の高い対応力かつサポート力のある」レンタルサーバー提供会社を選定する事です。

今回の記事では、『第三者による、ロリポップ(Wordpress利用者)への大規模なサイト改ざん事例』から、ロリポップの「緊急時の対応力」を評価していきます。

また、評価をする元となる情報は、ロリポップ公式サイトのこちらの情報とします→【第三者によるユーザーサイトの改ざん被害に関するご報告】

上記から、評価を2つの側面「良い点と悪い点」にまとめていきます。

『ロリポップ(Wordpress利用者)への大規模なサイト改ざん事例』から、ロリポップの対応内容が【良かった点】

ロリポップ 緊急時対応の良かった点

高評価とするロリポップの対応内容は、大きく6つあります(下記)

  • 【事例が発覚してから三日間は、「一日に5~7回の報告」が公式にされている】

    これによりユーザーは都度(短いスパンで)状況を把握できるし、”ちゃんと対応しているな” といった安心感にもつながります

  • 【各報告内容に、「対応状況の進捗率」が具体的に記されている】

    例えば、「全ファルに対してのウィルススキャン:50%」といった具合。
    これにより、報告の度に、ユーザーは対策状況の進捗を数値として具体的に確認できます

  • 【「被害状況」・「原因」・「対策内容」・「対策内容によるユーザーへの影響」が具体的に報告されている】

    さらに、進展があった場合は、都度、その情報が具体的に報告されています

  • 【対策内容をユーザーに提示して、対策してもらう形式でなく、サーバー管理者の方で強制的に対策を行っている】

    これにより、早い段階で対策がされ、被害をおさえる事ができるし、ユーザーからしてもバタバタ焦って混乱せずに済みます。

    また、「対策内容」は具体的に表記されているし、「対策による影響」があると思われるユーザーへは、メールでアナウンスされているので、「強制的に対策を行う」事によるデメリットもちゃんと考慮されています。

    ※強制的に行った対策内容:重要ファイルのパーミッションの変更、データベースのパスワード変更等

  • 【被害事例の発覚から、原因特定・対策完了までがスピーディーである】

    以下、被害事例の発覚から、原因特定・対策完了までを時系列にまとめています。

    ・「2013/08/29 02:20」:『大規模なサイト改ざんの被害確認』

    ・「2013/08/30 19:13」:『原因特定』

    「原因内容」:WordPressのプラグインやテーマの脆弱性を侵入経路として、「ロリポップ側のパーミッションの設定不備」を利用された事(次の「2013/08/30 23:02」の報告で、”サーバーの設定を変更し、FollowSymLinksを無効にしました” とあるので、サーバーの設定についても原因の一つだったようです)

    ・「2013/09/01 21:42」:『対策完了』

    「対策内容」:サーバー上にある全てのWordPressで使用しているデータベースのパスワード変更、および該当するデータベースを使用している「CMS(Wordpress等)」の設定ファイルの記述変更。
    また、サーバーの設定で「FollowSymLinks」を無効にし、「SymLinksIfOwnerMatch」を有効にするため、ユーザーごとに「.htaccess」内の記述の置換実施(この時点で、ウィルスチェックとWAFの有効は終わってませんが、同じハッキング手順による再被害は防げます)

    以上。

    上記から、「原因特定」まで約1.5日しか経っておらず、「対策完了」までは約3.5日で終わっています。
    被害件数が、8千件以上と非常に大規模なのに、「被害事例の発覚」から「対策完了」まで、4日も経たずに終えているのは、非常に早いといえるでしょう。

  • 【被害サイトへの復旧手順の公開が早い】

    以下、時系列です。

    ・「2013/08/29 02:20」:『大規模なサイト改ざんの被害確認』

    ・「2013/08/31」:『復旧手順のページ公開』

    復旧手順ページ → 【改ざんされたWordPressサイトの復旧方法について】

    以上。

    上記から、被害が発覚してから、復旧手順のページ公開まで、たったの「2日」です。
    手順内容自体も、非常に分かりやすく解説されています。

以上、6つの点がロリポップ!の緊急対応として、良かった点です。

『ロリポップ(Wordpress利用者)への大規模なサイト改ざん事例』から、ロリポップの対応内容が【悪かった点】

ロリポップ 緊急時対応の問題点

問題点とするロリポップの対応内容は、下記1つになります。

  • 【報告されている「原因内容」が二転している】

    以下、被害が発覚してからの「報告されている原因内容」を時系列にまとめています。

    ・「2013/08/29 02:20」:『大規模なサイト改ざんの被害確認』

    ・「2013/08/29 10:57」:『原因内容1』・・・大規模な攻撃(ブルートフォースアタック)による不正アクセスが原因

    ・「2013/08/29 22:40」:『原因内容2』・・・WordPressのプラグインやテーマの脆弱性を利用し、不正なファイルがアップロードされ、そのファイルを利用し、「wp-config.php」の設定情報が抜き出された事が原因。

    ・「2013/08/30 19:13」:『原因内容3』・・・WordPressのプラグインやテーマの脆弱性を侵入経路とし、「ロリポップ!側のパーミッションの設定不備」を利用された事が原因(次の「2013/08/30 23:02」の報告で、”サーバーの設定を変更し、FollowSymLinksを無効にしました”とあるので、サーバーの設定についても原因の一つだったようです)

    以上。

    上記から、時が経つにつれて原因内容が二転している事がわかります。

    これは、ユーザーからしたら「混乱の原因」になりますし、正確な原因特定がされない事により、「不信感」にもつながります。

    当時は、同時間帯に「海外からの大量アクセス」も発生していて、かつ過去に、Wordpressテーマに含まれているファイルなどの脆弱性を悪用されるケースも実際に確認していた。というロリポップ側の背景から、上記のような原因内容の推測に至った模様です。

以上、評価(良い点と悪い点)のまとめでした。

まとめ

個人的には、今回の事例に対してのロリポップの対応は、スピーディーに「原因特定」から「対策実施」・「復旧手順の開示」まで進め、かつユーザーに対しての配慮や、不安感をなるべく取り除く試みがされていると感じます。

また原因が二転している事についても、「なぜ二転したのか、、」といった事がちゃんと公式に解説されていますし、ユーザーへの直接的な被害はない(混乱はありましたが)、かつ本当の原因も早期に特定されているので、責任は少ないでしょう。

当ブログは、今後も引き続き「ロリポップ」を利用していこうと思います。

もし、今後レンタルサーバーを利用したいと思っている方は、当ブログでも採用している「ロリポップ」のロリポプランをおすすめします(下記)

ロリポプラン:250円 / 月 詳細はこちら

また、今回の記事では、「lolipopの緊急時対応」という点でロリポップを評価していますが、

以下の記事では、実際に半年間「ロリポップ」を利用してみて、様々な面から「メリットとデメリット」をまとめましたので、ぜひ参考にしてください。

【ロリポップ(lolipop)レンタルサーバーを180日使ってみて、利点欠点をまとめてみた】

コメントを残す

メールアドレスが公開されることはありません。