ロリポップのwordpress改ざんで思うこと〜サーバー使うなら危機意識は必要〜

シェアする

  • このエントリーをはてなブックマークに追加
  • 13

最近、莫大な抜け毛に悩まされている@a_kikaです。

いやいや、本当に円形脱毛症になるかとマジで悩んでいました。
髪は女の命…とは思っていませんでしたが、やはり気になります。
ええ、まだ終わりません。
最近、身体のあちこちがストレス性と思われる物が色々出ていて、怖いです。
あぁ、おそるべしストレス。

と、私のストレスは置いておいて。
いや、でも、この件は私もかつてかなりストレスになったので人事じゃないんです。

え?何?って、28日に起きたロリポップに設置したwordpressの改ざんの件です。

28日に発生したロリポップに設置したwordpressが改ざんされている、というのを知ったのは、28日の昼間。
Facebookで永江一石さんのブログ更新記事を見た時でした。

【緊急警報!!】ロリポップとGMOのinterQのWordPressが軒並み乗っ取られてます | More Access! More Fun!

ちょうど仕事中に、仕事でFacebookにアクセスした時にふと目に止まりました。

で、申し訳ありませんが、仕事中ということもあったし、まさかここまで大事になるとは思わなかったので、
「早く落ち着くといいね」
と思っていたのですが、2日たった今も沈静化どころか被害が拡大しているのですね。
GMO総裁は永江一石さんに噛みついたようですが、噛みつく相手が違うだろうと…

ハッカー側が

R.I.P lolipop

訳すと、“ロリポップよ安らかに眠れ”ですから、たまたまロリポのwordpressサイトを改ざんしたのではなく、“ロリポを狙った“のは明らかなわけで。

ま、そんなこともまたまた置いておいて。

最近、大きいところでは2ちゃんねるの情報流出なんていうのがありましたが。

情報流出を抜きにしても、レンタルサーバーと言うのは狙われるものではあります。
ヘテムルでもありましたし(これもGMOだ)、さくらインターネットもハッキングされたことがありますね。

まぁ、ぶっちゃけレンタルサーバー以外でもネットというのはハッキングの恐怖というのはいつでもあるものです。

そういう私もむかーし、さくらインターネットで普通のHTMLサイトをやっていた時、FTP不正アクセスされサイト改ざんを受けたことがあります。
このとき、さくらではFTPSやSFTPは使えなかったんですね。
なので通常のFTPを使用していたわけですが、このFTPはパスワードが暗号化されないので、パスワードを読まれて、何回にも渡り不正アクセスされました。

この件は、当時警察にも届けたのですが、まぁ、日本の警察というのは本当にサイバー関係には疎いんですね。
インターネットアクセスのことさえまともに知らないので、私の住んでいる神奈川県ではなく、札幌からのアクセスがあるのはどう考えてもおかしいのに、言われたことは「札幌に行きました?ご友人います?」でした。
しかも、不正アクセスされた時は、私はバイト中でしたから不可能なのに…
そして、札幌に友人がいたら改ざんされるんですか?
数年経ちますが、結局、この件はうやむやのままです。

この時のことがあり、私は海外サーバーへ移りました。
まぁ、当時の日本のレンタルサーバーでFTPSやSFTPまたはSSHを使用出来るサーバーなんてよっぽど高いところでしたからね。
個人で使える範囲ではありませんでした。
それに、日本の警察のサイバー捜査能力は0ということもわかったので、アメリカのサーバーへ移りました。
別に海外サーバーが格好いいとか、安いからではありません。(まぁ、SSH使えるのに個人で手が届いた、という意味では安いけど)
単に保身のためでした。

それから、日本も数々のサーバーやインターネットサービスがハッキングされ、サイト改ざんや個人情報流出といったことがあり、少し前からロリポあたりの格安レンタルサーバーがFTPSアクセス可能にし、WAFも導入されました。
日本でのサイバー系への恐怖がわかったのか、と思っていました。

しかし、今回のロリポップのwordpress改ざんで思ったのは、結局まだまだ甘いんだな、ということでした。

当初は、wordpressのテーマやプラグインから…と言われていましたが、結局、ロリポップ側のパーミッションの設定不備ということが、ロリポップ自身から発表されました。

もちろん、ロリポを利用してwordpressを利用しているユーザーの中には、IDがadminのままだったとか、パーミッション設定が強固にされていなかった等もあったようですが。

今回のことで浮かびあがったのは、結局、まだサイバーテロの怖さがわかっていない日本企業と、またインターネットを利用するユーザーの認識の甘さだと思います。

ロリポのWAFはwordpressをインストールする時には邪魔なので、WAFを切ったままにしているユーザーも多かったようです。
私もWAFが装備された後のロリポは試しましたが、wordpress設置後はWAFを入れました。
きちんと手順を踏めばWAFを入れても大丈夫なんです。
でも、面倒くさい、またはわからない、で切ったままにする認識の低さ。

その2つのことがあわさった結果が8000件を超える数になったんだと思います。

今は昔と違って、何も知らなくてもインストール型ブログを使えます。
それは良いとは思うんですが、「インターネットは危ない」という意識はもう少し持った方がいいと思うんです。

まぁ、今回のロリポの件は、ロリポ自身に問題がありましたので、意識があってもダメだったかもしれませんが、意識を持っていれば、もしかしたら、もう少し違ったのかな?とか…

しかし、なんですね。
共用サーバーっていうのは怖いですね。
自分がきちんとしていても、隣人がしっかりしてないと受けるとか。
そういう自分も共用サーバーを利用しているので、またちょっと怖くなりました。

そう考えると、VPSや専用がいいんでしょうね。
一番いいのはVPSかもしれません。
何かあればすぐにわかりますしね。
もちろん、その代わり何かあったら誰にも任せられないので自分でなんとかするしかない訳ですが。
私もVPSは何度か考えながらも、仕事や諸々を考えて、つい他の人に任せたくて共用サーバーにしているんですが。
もしかしたら(いや、もしかしなくても)反省すべきなのかもしれません。

格安レンタルサーバーが危ないだけじゃなく、それなりの価格のするサーバでも、ヘテムルやファーストサーバーの改ざん、障害は記憶に新しいので、サーバー選びはもちろんですが、利用方法も考えないといけないですね。

今回のロリポ被害で、つい自分のこのブログやお店ブログ等チェックしました。
どちらもロリポではないですが、つい昔の悪夢が蘇ってきてしまって^^;
今のところは大丈夫だとは思うけれど、VPSに移った方がいいのかな?とか悩んだりしてます。

それにしても、

R.I.P lolipop

なんて書かれるって、ロリポ何かしたの?
格安で初心者多そうなサーバーなんて他にもあるのに…
(確かにロリポが一番有名かつ大きいとは思うけど)

スポンサーリンク

シェアする

  • このエントリーをはてなブックマークに追加

フォローする