ロリポップ!WordPress利用サイトで不正アクセスによる改ざん被害の考察

Diary
投稿者: 表示回数4,062
ロリポップ!WordPress利用サイトで不正アクセスによる改ざん被害は深刻な被害をあたえています。

http://lolipop.jp/info/news/4149/

引用:
“本件の改ざんは、WordPressの設定ファイルであるwp-config.phpからデータベース接続に必要な情報を抜き出して情報を書き換えられたもので、それ以外のデータに影響はございません。先般お知らせしておりました、データベースのパスワード変更はこちらに関連するものです。重ねてご報告いたします。”

この案内によると、脆弱性を衝かれてWordPressの設定ファイルであるwp-config.phpが取得されてDBの情報を書き換えられたもの、とありますが、DB内にはユーザーの情報が含まれており、アカウントのメールアドレスなどの個人情報が抜き出されていてもおかしくない状況です。

ロリポップ!は非公開領域の利用を許していないので、非公開領域に本体ソースをアップロードしてよりセキュアに運営可能なGeeklogは、十分にセキュアに運営できないため、ロリポップ!を非推奨としてきました。

そのため、Geeklogの利用は少数で被害もまだ聞こえてきませんが、すべてのCMSにおいて、脆弱性の対策としてパスが変更されたことで、サイト復旧対応が必要となっています。

改ざん手法は「WordPressのプラグインやテーマの脆弱性を利用」とありますが、考えられる脆弱性のひとつとして、timthumb.phpが考えられます。

http://blog.vaultpress.com/2011/08/02/vulnerability-found-in-timthumb/

最終体な対策が完了したと言われている2.8.2(Revision:r187)がリリースされたのは2011年10月13日です
https://code.google.com/p/timthumb/source/detail?r=187

※以下の記事では10月17日とありますが、実際にコミットされたのは13日です。
WordPressプラグインなどで利用されているTimThumb.phpの脆弱性について
http://did2memo.net/2013/05/31/timthumb-php-vulnerability/

WordPressに限らず、timthumb.phpを活用しているCMSはバージョンを確認する必要があります。

CMSは、便利な面がある反面、攻撃を受けやすい面があります。常にセキュリティメンテナンスを行って、最新のバージョンで運用すること。最新のバージョンで運用できるよう本体ハックをしないこと。カスタマイズは本体をハックして行わず、かならずアドオンで機能追加することが大事です。

CMSは、様々なアドオン手法によってカスタマイズする設計になっています。本体をハックしなければ運用できないCMSは、未熟なCMSともいえるでしょう。

ハックしなくても実際の運用に耐えうるよう、本体の開発およびアドオンの開発に協力していくことが将来にわたってセキュアにOSSを活用するコツです。

WordPressでないからと安心することなく、すべてのCMSにおいて、運用者が気を引き締めなければならないでしょう。