2013年9月3日火曜日

【個人的まとめ】最近発生している、レンタルサーバーにおけるサイト改ざんについて

どうも。今回は違った色で記事を書きたいと思います。

現在、仕事で「ITのインフラ運用」をしているわけですが、以前に「サービス提供者」の経験もありいろいろ思うことがあって、エントリとして1つ私の思いを書いてみようと思います。

きっかけ


私の知り合いの多くの方は、すでにご存知だと思いますが、
共用サーバー(レンタルサーバー)において「WordPress」を含むCMSを使った
サイト改ざんがニュースになりました。





対象サービス(一部)


話題になったのが、国内でも非常に多くのユーザーを抱えている「ロリポップ」さん

「ロリポップ」さんは、今回の件を初動に疑問は抱えたが、現在の対応は私個人的に見て、非常に真摯な対応に感じます。

ロリポップさんの今回の件の告知ページ




同様にCPIさんでも、改ざんが報告されているようです。

こちらには一般的な「WordPress」の対策についてが書かれています。

CPIさんの注意喚起ページ



お断り


ごっちゃに書いてしまっているので、誤解を招いてしまうかもしれませんが、上記2サービスは原因についての報告が異なります。

ロリポップさん

自社のサーバー設定不備が主な原因だと、「自らの設定ミス」を認めて、全力で対応されています。

CPIさん

主に利用者への注意喚起をする内容になっております。

CPIさんは原因が発表されていないため、このような内容になっているのかもしれません。

どちらが、良い、悪いと言いたいわけではありませんので、ご了承ください。

非常に良い設定例


今回の件で、調べてみると非常に良い「WordPress」運用が見つかったので紹介です。

こちらは、ロリポップさんが対象



こちらは、さくらインターネットさんが対象



同業他社による考察


こちらでは、「さくらインターネット」の代表である田中さんが「ロリポップ」さんの事例を上げて詳細に解説してくれています。

今回はここが本題です!

誤った考えを、持ってほしくなくて この記事を書きました。

さくらインターネット代表 田中さんのページ



簡単なまとめ

  • WordPressは無実である。(「原因ではない」が。古いバージョン、簡単な管理パスワードはこの限りではない)
  • サーバーソフトウェア(Apache)の設定不備である。
  • Symlink Attacksと呼ばれる種類のアタックが行われた。
  • 共用サーバーは通常他人のファイルが見れないように設定されている。しかしApacheプロセスは別のグループのため挙動が異なる。
  • suEXECを使っていない環境において、他ユーザのファイルへアクセスできる脆弱性は残っています。

また、自社サービスの仕様についても触れています。

さくらのレンタルサーバではApache 1.x系で上記の設定ができなかったため、Optionsの利用を全て不可にしていたのですが、
現在サーバを順次アップグレードをしているところであり、いずれはサービスにおいてOptionsを使用できるようにしたいと思っています。

更には、非常に重要な事について触れています。

ところで、この騒ぎの中で「共用サーバは危ない」「AWSやさくらのVPSへ移行しよう」という意見を見受けますが、これは多くのケースにおいては間違った対応です。

共用サーバを提供する多くの事業者においては、知られた脆弱性に対して迅速に対応されていますし、

逆にセキュリティ対策ができない状況でAWSやVPSのような素のサーバを使うことは非常に危険です。
しっかりとサーバ管理の出来るケースに限って、AWSやVPSなどを活用すべきだと思います。

また、以下については、CPIさんの注意喚起と似た部分がありますので、もう一度自身のサイトを見なおしてみてはいかがでしょうか。

最後に、今回のケースでは直接ワードプレスが悪いというより、よく利用されているCMSだからターゲットにされたということがありました。
良く利用されているアプリケーションについては狙われやすいということがあるので、ユーザ名やパスワードを他のサイトと異なるものにしたり、
複雑なものにしたりと、さまざまな対策をユーザ側でも行うことが重要です。

まとめ

  • 何度も言うようですが、ロリポップさんに関して、真摯な対応されています!
    ですので、この件を理由に引っ越す必要は無いと思います!

  • 今一度、ご自分のサイト(私も含め)考えなおす機会なんではないかと思います。

  • また、近くに詳しい人が居るなら、アドバイスを受けてみるのもいいと思います。

  • タダだと気がひけるのであれば、ご飯をごちそうするなどすれば聞いてくれると思いますよ!

何か、聞きたいことがあればご気軽にどうぞ。

Zenback