現在、仕事で「ITのインフラ運用」をしているわけですが、以前に「サービス提供者」の経験もありいろいろ思うことがあって、エントリとして1つ私の思いを書いてみようと思います。
きっかけ
私の知り合いの多くの方は、すでにご存知だと思いますが、
共用サーバー(レンタルサーバー)において「WordPress」を含むCMSを使った
サイト改ざんがニュースになりました。
対象サービス(一部)
話題になったのが、国内でも非常に多くのユーザーを抱えている「ロリポップ」さん
「ロリポップ」さんは、今回の件を初動に疑問は抱えたが、現在の対応は私個人的に見て、非常に真摯な対応に感じます。
ロリポップさんの今回の件の告知ページ:
同様にCPIさんでも、改ざんが報告されているようです。
こちらには一般的な「WordPress」の対策についてが書かれています。
CPIさんの注意喚起ページ:
お断り
ごっちゃに書いてしまっているので、誤解を招いてしまうかもしれませんが、上記2サービスは原因についての報告が異なります。
ロリポップさん:
自社のサーバー設定不備が主な原因だと、「自らの設定ミス」を認めて、全力で対応されています。
CPIさん:
主に利用者への注意喚起をする内容になっております。
CPIさんは原因が発表されていないため、このような内容になっているのかもしれません。
どちらが、良い、悪いと言いたいわけではありませんので、ご了承ください。
非常に良い設定例
今回の件で、調べてみると非常に良い「WordPress」運用が見つかったので紹介です。
こちらは、ロリポップさんが対象
こちらは、さくらインターネットさんが対象
同業他社による考察
こちらでは、「さくらインターネット」の代表である田中さんが「ロリポップ」さんの事例を上げて詳細に解説してくれています。
今回はここが本題です!
誤った考えを、持ってほしくなくて この記事を書きました。
さくらインターネット代表 田中さんのページ:
簡単なまとめ:
- WordPressは無実である。(「原因ではない」が。古いバージョン、簡単な管理パスワードはこの限りではない)
- サーバーソフトウェア(Apache)の設定不備である。
- Symlink Attacksと呼ばれる種類のアタックが行われた。
- 共用サーバーは通常他人のファイルが見れないように設定されている。しかしApacheプロセスは別のグループのため挙動が異なる。
- suEXECを使っていない環境において、他ユーザのファイルへアクセスできる脆弱性は残っています。
また、自社サービスの仕様についても触れています。
さくらのレンタルサーバではApache 1.x系で上記の設定ができなかったため、Optionsの利用を全て不可にしていたのですが、
現在サーバを順次アップグレードをしているところであり、いずれはサービスにおいてOptionsを使用できるようにしたいと思っています。
更には、非常に重要な事について触れています。
ところで、この騒ぎの中で「共用サーバは危ない」「AWSやさくらのVPSへ移行しよう」という意見を見受けますが、これは多くのケースにおいては間違った対応です。
共用サーバを提供する多くの事業者においては、知られた脆弱性に対して迅速に対応されていますし、
逆にセキュリティ対策ができない状況でAWSやVPSのような素のサーバを使うことは非常に危険です。
しっかりとサーバ管理の出来るケースに限って、AWSやVPSなどを活用すべきだと思います。
また、以下については、CPIさんの注意喚起と似た部分がありますので、もう一度自身のサイトを見なおしてみてはいかがでしょうか。
最後に、今回のケースでは直接ワードプレスが悪いというより、よく利用されているCMSだからターゲットにされたということがありました。
良く利用されているアプリケーションについては狙われやすいということがあるので、ユーザ名やパスワードを他のサイトと異なるものにしたり、
複雑なものにしたりと、さまざまな対策をユーザ側でも行うことが重要です。
まとめ
- 何度も言うようですが、ロリポップさんに関して、真摯な対応されています!
ですので、この件を理由に引っ越す必要は無いと思います!
- 今一度、ご自分のサイト(私も含め)考えなおす機会なんではないかと思います。
- また、近くに詳しい人が居るなら、アドバイスを受けてみるのもいいと思います。
- タダだと気がひけるのであれば、ご飯をごちそうするなどすれば聞いてくれると思いますよ!
何か、聞きたいことがあればご気軽にどうぞ。
