ロリポップ!WordPress利用サイトで不正アクセスによる改ざん被害の考察

Diary
投稿者: 表示回数4,179 印刷用ページ
ロリポップ!WordPress利用サイトで不正アクセスによる改ざん被害は深刻な被害をあたえています。

http://lolipop.jp/info/news/4149/

引用:
“本件の改ざんは、WordPressの設定ファイルであるwp-config.phpからデータベース接続に必要な情報を抜き出して情報を書き換えられたもので、それ以外のデータに影響はございません。先般お知らせしておりました、データベースのパスワード変更はこちらに関連するものです。重ねてご報告いたします。”

この案内によると、脆弱性を衝かれてWordPressの設定ファイルであるwp-config.phpが取得されてDBの情報を書き換えられたもの、とありますが、DB内にはユーザーの情報が含まれており、アカウントのメールアドレスなどの個人情報が抜き出されていてもおかしくない状況です。

ロリポップ!は非公開領域の利用を許していないので、非公開領域に本体ソースをアップロードしてよりセキュアに運営可能なGeeklogは、十分にセキュアに運営できないため、ロリポップ!を非推奨としてきました。

そのため、Geeklogの利用は少数で被害もまだ聞こえてきませんが、すべてのCMSにおいて、脆弱性の対策としてパスが変更されたことで、サイト復旧対応が必要となっています。

改ざん手法は「WordPressのプラグインやテーマの脆弱性を利用」とありますが、考えられる脆弱性のひとつとして、timthumb.phpが考えられます。

http://blog.vaultpress.com/2011/08/02/vulnerability-found-in-timthumb/

最終体な対策が完了したと言われている2.8.2(Revision:r187)がリリースされたのは2011年10月13日です
https://code.google.com/p/timthumb/source/detail?r=187

※以下の記事では10月17日とありますが、実際にコミットされたのは13日です。
WordPressプラグインなどで利用されているTimThumb.phpの脆弱性について
http://did2memo.net/2013/05/31/timthumb-php-vulnerability/

WordPressに限らず、timthumb.phpを活用しているCMSはバージョンを確認する必要があります。

CMSは、便利な面がある反面、攻撃を受けやすい面があります。常にセキュリティメンテナンスを行って、最新のバージョンで運用すること。最新のバージョンで運用できるよう本体ハックをしないこと。カスタマイズは本体をハックして行わず、かならずアドオンで機能追加することが大事です。

CMSは、様々なアドオン手法によってカスタマイズする設計になっています。本体をハックしなければ運用できないCMSは、未熟なCMSともいえるでしょう。

ハックしなくても実際の運用に耐えうるよう、本体の開発およびアドオンの開発に協力していくことが将来にわたってセキュアにOSSを活用するコツです。

WordPressでないからと安心することなく、すべてのCMSにおいて、運用者が気を引き締めなければならないでしょう。


なぜOSSコミュニティ に若い世代が入ってこないのか

Diary
投稿者: 表示回数5,583 印刷用ページ
公的機関が応援する一部のOSSの例外を除き、OSSの世界へ参入する若い世代は確実に減っているというのが大方の実感だと思う。確かにOSSイベントに学生を動員しているけれどそのままOSSの世界に直接就職して飛び込むことはまずない。

会社へ入れば個人として活動が許されないことが多いので、土日など限られた時間での参加になることが多く、所属企業によっては覆面で参加する開発者もいる。

わたしたちの世代はバブル時代でおいしい目にもあってきたけわけだけれど、企業内の不自由なスクラッチ開発に直接従事していて苦しんでいたのでOSSのありがたみを強く感じ、恩返ししようという気持ちが強い。
そこで、強い意義を感じてOSSコミュニティに参加し、社会的インフラという意味の強いボランティア活動に近い、OSS活動に参加するケースが多い。

一方で若い世代はなんの苦労もなく最初から当然のごとく様々なOSSを活用している。

とはいっても恩返しできるほどのゆとりもモチベーションも持ち合わせていない、ということかもしれない。すでにそれぞれのOSSの完成度も高いのでそれに手を加えなければ使えないわけでもない、ということもあるだろう。

海外の学生はGoogle Summer of Codeに応募して、その成果が直接OSSに取り込まれるほどの実力をもっているんだけれど、日本では応募そのものがない。日本の大学生、大学院生にOSSのコードが書けるほどの技能、教育もないと思う。そもそもOSSほどの高いレベルのプログラミングができる教員が稀有だと思う。

日本の義務教育を漫然と受けてOSSが書けるほどの人材に育つとはまったく思えない。早いうちにスピンアウトして(不登校)独自に道をひらいていくに限る。ただアメリカ、ヨーロッパほどに、ものすごい才能の若者が報われるかといわれれば、日本では難しいので海外、アメリカ、台湾などへ行け、あるいはまったくあたらしい事業を自分でつくるのがよさそうだ。

良いOSSを活用している限り、海外の開発レベルから取り残されて技術者として腐ることなく、常に求められる技術に触れることができる。

現在活用しているOSSの開発に協力すれば、将来自分も、またそのOSSを活用する多くの人たちをしあわせにすることにつながり、何よりもOSS開発者のネットワークに参加して活動の場を広げることができる。

OSSのネットワークでは技術力とともに、様々なやりとりから人間性もまたさらされることになり、評価を受ける。

大手の企業が能力の高いOSS開発者を求めているので、技術アピールと自身の人間性アピールの場として活用してほしい。


最初 | 前へ | 12 | 次へ | 最後