ロリポップでWordPress利用してるサイトが、不正アクセスを受けて改ざんされる被害が発生したらしい。

お知らせ – レンタルサーバーならロリポップ!

上記リンク先の被害状況によると、被害にあったのは「WordPressをインストールされている一部のお客様(8,438件)」との事。8438件が一部かよ、って突っ込みいれたくなったが。トップページには、お申し込み総数 124万9736人って書いてあった。確かに一部だな。

とはいえ、今回の件はかなり大事らしい。なんせ、親会社のGMOインターネットのトップページにまで、お知らせで載せてるぐらいなんだから。

paperboy&co.「ロリポップ!レンタルサーバー」ユーザーサイトへの第三者による攻撃について – GMOインターネット株式会社

まあ、起きた事は仕方ない。問題は原因追求と解明。その後の対応と再発防止の措置だよな。と思ったが、最初の原因追求でやばげな問題が発覚。しかも、GMOが被害を認識する前に、twitter・blogで注意喚起した人がいたんだけど。ロリポップの公式twitterアカウントから、2013年8月28日 – 21:27 に、「現在、ロリポップ!サーバーへのクラック等の事実はございません。つきましては、お手数をお掛けして恐れ入りますが、その旨を記事に追記していただくことは可能でしょうか」との返信。

https://twitter.com/lolipopjp/statuses/372697067308584961

2013年8月29日 – 0:09には、GMO社長自ら「現段階でWPの脆弱性は確認出来てますが弊社へのハッキングなどの事実は確認できません」とのツイート。

https://twitter.com/m_kumagai/statuses/372737835360858112

その後、0:20のツイートで関係者に再度確認の指示。なのに、9:24の段階でも、クラッキング等の事実は確認できてない。10:14でも確認中。11:20になって、2013年8月29日 – 11:10のGMOインターネットグループのアカウントの「「ロリポップ!」においてWordPress利用中のお客様のサイトが改ざんされる被害が発生しております」を含むツイートをRT。

ちなみにロリポップの8/28お知らせでは、脆弱なパスワードをつかれて不正ログインされる事例を多数確認してると発表。ロリポップサーバーへのハッキングの事実は否定

WordPress のログイン ID とパスワードに脆弱な文字列を使用している場合に、管理画面へ不正にログインされる事例を多数確認しております。
不正利用を防ぐために、下記2つの対策を必ず行ってください。

※ロリポップ!サーバーへのハッキングなどの事実はございません。

ロリポップ上でのユーザーページ改ざんの第一報は、2013/08/29 02:20。10:57での「大規模な攻撃によりWordPressをご利用中のお客様の管理画面から不正アクセスにより、データの改竄や不正ファイルの設置がされた」との認識。22:40で「WordPressのプラグインやテーマの脆弱性を利用し、不正なファイルがアップロードされました」との新情報。

8/30になってようやく「2013/08/29 22:40 時点でのご報告において、改ざん手法を「WordPressのプラグインやテーマの脆弱性を利用」として説明を行っておりましたが、その脆弱性を侵入経路として、「当社のパーミッションの設定不備を利用」されたことが原因であることを確認しております」と、ロリポップ側にも不備があったことを認める。「被害拡大の防止を最優先としており、本件の発表が今となりましたこと深くお詫び申し上げます」の言い訳つき。

なお、今回の件の経緯については、下記リンクが詳しいです。

ハッキングされてると教えた親切な人にGMO熊谷社長が「風説の流布」だとぶちギレた結果wwwwww : IT速報

今回の対応の問題点

個人的に今回問題だと思うのは次の2点

まずは、ロリポップのマンパワー不足。第三者からクラックの可能性を指摘されて、その事実に気づくのに時間がかかりすぎてる。それ以前に、当初はユーザーやWordPressに責任をなすりつけてたけど、実際はロリポップの不備が原因だったからな。どうりで、他社のレンタルサーバーサービスでは、ここまで大規模な被害を聞かないわけだ。ロリポップといえば、結構老舗で大手のレン鯖サービスのはずだけど。今回の一件で、同業他社より人的スキルが劣っていると言わざるを得ない。まあ、単にロリポの利用者が多いから露呈しただけで、同様なことが頻繁に起きてるかもしれないけど。

次に社長の対応。自社の関連サービスがクラックされたなんてツイートされたら、流石になんとかしないとならないけど。今回みたいに「風説の流布」だの「ハッキングの事実はありません」とか、最初から否定してかからなくても。淡々と、「ご指摘ありがとうございます。現在事実を確認しておりますので、発表までしばらくお待ちください」とか、杓子定規のテンプレで返しとけばいいのに。

おそらく、件のツイート見て、社長も当然ロリポップにクラックの事実を確認させたと思うけど。ロリポップの担当者は、「なんかページ書きかえられてるサイトあるけど、デフォルトIDに適当なパスワード設定してたら垢ハックされたんじゃね」ぐらいの認識だったんだろう。その旨、社長に報告したらあんな感じでつぶやいちゃった。そう予想してる。

まあ、これは仕方ないかな。けど、最近は何かあるとすぐネットで拡散するから。twitterにしろFacebookにしろ、不特定多数の目に触れるところでの発言には、細心の注意を払った方がいいと思うよ。特に、社会的に高い地位についてるような人は。「お客様は神様です」扱いとは言わないが、常に第三者の目を意識して、周りを味方につけるような言動をとるべきじゃないかな。

最後に

実は、このニュース見た時は、正直身の毛がよだったよ。WordPress利用してるサイトへのクラッキングなんて、まじで人事じゃないし。それを考えると、レンタルサーバー会社の選択は大事だな。この事件で、ロリポップの評価はちょっと微妙になったかも。今後の対応によっては、個人向けの趣味サイトでもお勧めできなくなるかもしれんな。

ロリポップの利用者で、他社への移行を考えている場合。独自ドメイン取得の有無で、移行の難易度が変わる。独自ドメインを取得してれば、ドメイン管理してる会社と移行先のレン鯖サービスの設定を変更すれば、URLを変更しなくても移行できる。だが、ロリポップが提供するドメインを使っていた場合、引越しちゃうとURLが変わってしまう。メールもロリポップドメインで、頻繁に利用してたとしたら、最悪だな。その場合は、ロリポップが改心して引っ越さなくて済むように祈ってた方がいいかもしれん。

となると、やっぱり個人でホームページ持つなら、独自ドメインは取得しといた方が無難かな。ちなみに私は、何度か書いてるけど、ドメインはスタードメイン。Webサーバはスターサーバープラスを利用している。2013/9/30までに契約するなら、スタードメインはお勧めできる。それ以降は現時点だと、月500円か年5000円払えるんなら、もはやさくらのレンタルサーバのスタンダード一択か。WordPress使えなくていいなら年1500円で、やっぱりさくらのライト一択。

さくらのレンタルサーバーライトに申し込んでしまった -初期費用無料キャンペーンは大きい-

さくらのレンタルサーバー本契約したよ -ウェブは当面使わないんだけどね-

WordPress使いたいけど、年5000円は払えない場合。さくらインターネットほど、会社の知名度が高くなくてもいいなら、ネットオウル株式会社のミニバードかな。私が利用してるスタードメインのスターサーバープラスの上位サービスで、月315円。6ヶ月契約以上だと1ヶ月当たり263円。機能的には、さくらのスタンダードやロリポップのロリポプランとだいたい同じ。私は、無料のスターサーバープラスで満足してるから、実際に使ってるわけじゃないけど。流石に有料なんだから、無料サービスに劣る事はないよな。

ミニバードのメリットは、スタードメインでドメイン取得するなら、利用料金で貯まるネットオウルポイントが使えるとこ。ただ、初期費用は100%だけど、月額料金は25%までしか充填できない。今なら、9/30 18:00まで初期費用半額で、月額料金が申し込み月無料と1ヶ月無償延長で、最大2か月分が無料になるキャンペーンやってる。けど、今月末までなら、スタードメインでドメイン取って、来月には申し込めなくなるスターサーバープラスを利用した方がいいかな。

スタードメインでドメイン取得したら無料で使えるサーバー機能「スターサーバープラス」の新規受付が2013/9/30で終了するのかよ

まあ、どっちにしろ自分のホームページやブログを持ちたいのなら、独自ドメインは取っておいた方がいいと思うよ。

関連記事


ブログランキング にほんブログ村

Leave a Reply