すでにニュースになっているロリポのWordpress改ざんの件です。
このブログもロリポにWordpressを設定したサイトです。(いまのところ大丈夫です。)
最近Wordpressへの攻撃が多いというニュースを読んだりしていたし、ロリポも一昨日Wordpress利用ユーザーにWordPress のログイン ID とパスワードに脆弱な文字列を使用している場合への警告を出したり、海外IPから大量のアクセスがあったので制限かけたとか、なんだか不穏な空気満載でした。
そんなことで、一昨日遅まきながらadminアカウントの使用をやめ、別ユーザー名+新パスワードの設定したばかりでしたが・・。
しかし、そういった基本対策はやっておくべきとしても、今朝のロリポの発表で「WordPressをご利用中のお客様の管理画面」とあるのは、Wordpressの管理画面?それとも、ロリポの管理画面から、phpmyadminへの侵入とかってこと?
とりあえず、ロリポからのメールには、wp-config.php のパーミッションを「400」に変更したとありましたし、いまのところ改ざんはされていませんが、ロリポのサーバ自体が破られていたらどうなんでしょう?
私のような不安だらけのユーザーに、もっとわかりやすく教えてほしいものです。
で、ロリポの発表は下記。
2013/08/29当社サービス「ロリポップ!レンタルサーバー」ユーザーサイトへの第三者による大規模攻撃について
(2013/08/29 10:57 掲載部分より抜粋)
[対象のお客さま] 「ロリポップ!レンタルサーバー」のユーザーサーバーにおいてWordPressをインストールされている一部のお客さま(4,802件)
[現在までに判明している被害状況] 大規模な攻撃によりWordPressをご利用中のお客様の管理画面から不正アクセスにより、データの改竄や不正ファイルの設置がされた。
ただ、ロリポも被害者であるのはもちろんですが、下記のTweetを見る限り、せっかく通報があったのに、ちょっと初動が遅れたように見えますね。
Isseki Nagae氏が警報を発したのが昨日(2013.08.28)19時。
西新宿のプログラマ氏がTweetしたのが昨日(2013.08.28)19時45分。
しかし、ロリポとのやりとりを読む限りは、ロリポは22時の段階で、まだ事態を把握しておらず、です。
@Isseki3 はじめまして。ロリポップ!公式アカウントです。上記ブログ記事に関しまして、現在、ロリポップ!サーバーへのクラック等の事実はございません。つきましては、お手数をお掛けして恐れ入りますが、その旨を記事に追記していただくことは可能でしょうか。
— ロリポップ!レンタルサーバー (@lolipopjp) August 28, 2013
@shinjuku_pg ご利用ありがとうございます。ロリポップ!のウェブサーバーおよびデータベースサーバーへのハッキングは確認されておりません。ご不明な点などございましたら、お問合せフォームよりご連絡くださいませ。 https://t.co/Z3YpxaYW1T
— ロリポップ!レンタルサーバー (@lolipopjp) August 28, 2013
そして被害発生の発表は上記ロリポのお知らせで言うと、8.29、夜中の2時20分。
昨夜最後(20時過ぎ)の「ハッキングは確認されておりません」のツィート以降、ロリポの内部では戦場と化したんでしょうね。
被害サイトが拡大にないことを願いたいです。
(2013.08.30追記)
ロリポで確認できた被害は、8/29 19時26分の発表では、さらに増えて合計8,438件まで増えたとのこと。
ところで、いやなツイートを目にしてしまいました。
あなたの指摘で事実確認中ですが、確認が出来ていない情報をこんなに拡散して本当に困ったもんだ。事実でなかったらどう責任を取るつもりなんですか?株価にまで言及してますが責任とれますか?現段階でWPの脆弱性は確認出来てますが弊社へのハッキングなどの事実は確認できません@Isseki3
— 熊谷正寿 (@m_kumagai) August 28, 2013
はっきり言ってコワイです。
ロリポに責任があるとかないとか関係なく、不正な改ざん攻撃で被害を受けているのは客(ユーザー)です。
トップが真っ先に心配しているのは、どう見ても株価です。本当にありがとうございました。
(2013.09.09追記)
どうやら株価への言及はIさんのTwitterに先にあって(削除済み)、それを熊谷社長が指摘したようですね。
そういう意味では「トップが真っ先に心配しているのは、どう見ても株価です。」というのは誤りですね。
いちロリポユーザーとしてこれからも使わせてもらいますのでお許しを。