これ突破シリーズでもよかったかもしれないけれど、突破というほど突破出来てないし、割と時間かけて戦ったのもあるので・・・。
サイト自体はWordPressで構築したサイトでした。どれくらい前だろう・・・7年前か8年前かな。
まだまだ、そういった知識も少なかったし、そういった危険に関しての認識も低かったから改ざんされたときは「まさかウチみたいなサイトが」って感じで、目の前真っ暗になりました。ショックで。
危険を煽るわけではないですが、ウチみたいな小さなところは狙われないだろう、とかはありません。
どこでも狙われる可能性ありますので、セキュリティに関しては、やりすぎかもくらいでも構わないと思ってます(その「やりすぎ」の度合いは人それぞれでしょうけどね)。
Contents
状況や経緯など背景
当時勤めていた会社で、その会社のWEB担当だった僕は、WordPressで自社サイトを管理しており、常駐的なページは固定ページで、お知らせ的なものは投稿記事で投稿する一般的かつベーシックな使い方をしていました。サーバーはレンタルサーバーで、格安の個人向けのレンサバではなく、企業として契約するならこれくらいの費用はかけたいよね(それでも安いけど)というレベルのレンサバ会社さんで、制作会社など、サイトを作った会社は既に契約も切れており、連絡がつかない状態だったため、僕一人でメンテナンス(出来ないレベルのものは別の制作会社に依頼だけど、基本的にはひとりで)している、という状況でした。
使っているテーマはデフォルトの西暦ごとに新たに出てくるテーマをいじったものでした。そして、プラグインやテーマの更新の通知は出ているけれど、更新すると崩れるかも、使えなくなるかも、ということだけは聞いていたので、放置していました。
あれ?なんだこれ?
改ざんを知ったキッカケが何だったかは忘れてしまいましたが、出社すると必ずアクセス解析見たり、自社のサイトを見たりしているのですが、レンサバ会社からのメールか、自分で見つけたか、だったと思います。めっちゃ焦りました。FFFTP開いて改竄されたっぽいディレクトリを見ると、なにやら見たことのないファイルが置かれている。日付もおかしい。
「何だこのファイル名・・・。俺、こんなの設置してない・・・」と思い、他にもアクセスしてみると、なにやらロシア語で書かれたページが開きました。
最初に思ったのは「WPに入られた!」ということでした。本当に知識がなかったので、海外のクラッカーにWPのパスワードがバレてファイルを設置された(※FFFTPでファイル設置されているのを確認しているのに、WPの管理画面のパスワードがバレた、と思ってるあたりアホですよね、この当時)と思ったので、まずはファイルを削除して、WPへのログインID/PASSを変更しました。
改ざんされたファイルも少なく、元々あったものを改ざんされたわけではなく、新たに設置されただけっぽいので、削除して、ID/PASSを変えてしまえば済むだろうと思ってました。
イタチごっこが始まった
改ざんされた日の朝にファイルを削除して、ID/PASSを変更して、これで全てが済んだと思ってました・・・が、翌日、出勤するとまた改ざんされてました・・・。
僕としては、「え・・・なんで?」という感じで、WPに入られた?ID/PASS変えたのに?WPじゃなくて、PC自体になにかされている?とも思い、PCのアプリを再度確認してみるがおかしなソフトや怪しいフリーソフトとかは入ってない。
会社PCだったからセキュリティソフトも入ってたし。幸い、トップページをいじられたわけではないし、グローバルナビにリンクがあるわけでもなかったけれど、流石にこれはどうすればいいのか、と軽くパニック。ID/PASS切り替えたし、PCに入られたわけでもないし、会社のPCは固定IPでセキュリティガチガチだし・・・。どこから入られたのだろう・・・?と。
とりあえず、ファイルを削除してID/PASSを変更して、通常業務に戻りました。その間、いたずらにしてもなぁ・・・やばいなぁ・・・なんて思ってたわけですが(置かれたファイルはロシア語で書かれた通販系の商材ページみたいな感じのページだった)、その日の夕方にふと気になって、FFFTPを開いてみました・・・。
ファイルを置かれていました。
自分が作業していた時間内にファイルを置かれたわけです。
何かPCが操作をされたと思えず、もう何が理由かわからず、「やばい・・・やばい・・・やばい・・・やばい・・・」と頭の中が真っ白でした。
コーディングの知識やエンジニア的な知識はほぼ皆無で(その割にはFFFTPでパーミッションの設定とかはある程度理解してたけど)誰にも相談が出来なかったので、困り果てた結果、レンサバ会社のヘルプに問い合わせを送り、その日は帰りました(返事に関しては、おそらく業務対応外と言われて終わりだろうなーって全く期待してなかったけど)。
神様・仏様・レンサバ担当者様!
翌朝、またファイルが設置されていました。
もう、こうなると、多少慣れてきてしまっていて、「また置かれてるんだろうな」という気持ちで出社していました。
どこから入られてるのか、何がダメなのかがわからないので、一つづつ原因を潰していくしかない、と。ファイルを削除して、ID/PASSを変えて、通常業務に戻りました。
お昼くらいになって、レンサバ管理画面に入ったところ、昨日の問い合わせに返事が来ていました。読んでみると、かなり具体的に対策を記述してくれており、それを読むと、どうやらパーミッションの設定の確認や、テーマやプラグインを更新しないとそこから入られることもありますよ、と記載されていました。
もう、絶望の中の一縷の望み、地獄の底での蜘蛛の糸です。
縋りました。レンサバ担当者さんの言われるように、ファイル削除後、何をどうさわったかは忘れましたが、パーミッションやプラグインを更新かけたりして様子見することにしました。(一度にプラグインとパーミッションじゃなくて、どちらかを更新したり設定変更をして翌日に確認して、みたいな感じ)
おそらくこれだ!
そして、プラグインとかパーミッションを変えても、また改ざんファイルを置かれていました。ファイル削除後、その旨をレンサバ会社さんにメールをして、その後の対策案を相談します。
そうなると、もう、テーマしかない。ってことで、テーマの更新。テーマの更新といっても新たにテーマを作り変えるとかじゃなく。一応、バックアップとしてソースコードをコピペしたり、どこに何を設置していたか、などを確認して更新かけてFTPのパスワードも変更して翌日に確認してみると、もう改ざんファイルは置かれていなかった。
何が原因かは最終的にわからなかったけど、おそらくテーマを更新していなかったことで、そこから入られたんじゃないか、ってことでした。
オリジナルテーマならまだしも、公式が配布しているデフォルトテーマだったし・・・(テーマ更新かけたことで、色々初期化されたはずなんだけど、よく覚えてないや。多分、会社ロゴの再設置とかアナリティクスのコードは再設置しなおしたと思うw)※すいません、よくわからないままにWP管理してます。
かくして、トータルすると1周間くらいでしょうか、クラッカーとのイタチごっこは。これ以降は入られることもなく、改ざんされることもなく、でしたが、WEB担当者だったため、責任を取れとのことで給与を下げられました(いや、俺が改ざんのきっかけを作ったわけではないし、エンジニアでもないので、納得いかなかったんだけど・・・)。
対策案
と、まぁ、こんな感じです。対策としては色々あり、上記のようにテーマやプラグインのバージョン更新もあるし、WP自体のバージョンアップもありますが、素人さんがやると厄介なことになるときもあります(プラグインが動かなくなった、レイアウトが崩れた、などなど)。やらないよりはやったほうがいいんでしょうけど、サイトを管理されている制作会社やサーバー会社さん、社内に詳しい方がいるなら、そういった方と相談されてからのほうがいいでしょう。
さて、その後、WEBの制作会社とかに転職しまして、そこで幾つかのセキュリティの方法などを見聞きしたので、以下に記載します。
※ただし、これをやったら大丈夫!ってわけでもないです。あくまでこういったことをやってみました、的なお話くらいで、WPのセキュリティもサーバーへのセキュリティも混ざってます。
管理画面へのアクセス制限
WPの管理画面のアクセスはわかる方はわかると思いますが、ドメインの後ろに管理画面のファイル名を記述してエンター押せば管理画面へのログイン画面が出てきてしまいます。
そこで、初期設定から変えてないパターンとかよくあるID/PASSなど推測しやすいものだと入れてしまいますが、例えID/PASSを変えてあったとしてもわけわからない第三者が管理画面にアクセスしてくるのは気持ち悪いでしょう。これは管理画面自体にアクセス出来ないようにする方法です
例:管理画面へのアクセスをIP制限で国内からのみアクセス出来るようにする。(管理画面ディレクトリ以下のみ海外からのアクセスを遮断する)
SiteGuardプラグインの導入
このブログには導入しています。管理画面にWPのID/PASSだけじゃなく、「つぎの日本語を入力してください」とかの画像認証の制限を設けるプラグインです。
クラックしてくるのが海外ユーザーが多いのであれば日本語で認証させるようにしといたほうがいいかな、とは思います。
その他にはログインをしようとしてきたIPからのアクセスを指定時間ブロックしたり、ログインページのURLを変更したり、結構いろんな機能がついています。
静的サーバーを別途用意する
これは副次的にとも言えますが、WPの速度向上とセキュリティも上がる、という話になります。
ちょっと大掛かりではありますが、といってもそこまで費用は高くないとは思います(高いレンサバや専用サーバーとVPNでガチガチよりは予算は低く済むと思います)。
WPはデータベースの中にあるものを都度都度引っ張り出して、表示させる際に都度組み上げる性質があります(っていう表現でわかりますかね?動的ファイルっていうんですけど、テンプレートファイルがあって、そのテンプレートに沿ってデータベースから各項目の値を読み取って、当て込んでいく、というか)。それとは逆に、1枚1枚情報を書き込んだファイルを静的ファイルと言いまして、動的と静的では静的のほうが軽く、表示が早い傾向があります(もちろん、中身の情報の掲載量に依りますが)。
WPをファイル生成エンジンとして活用し、そのWPでつくられた記事を静的ファイルとして生成して別サーバーに置くシステムと言いましょうか(※分かりづらい説明になってるのは重々承知です)。このシステムがあると何がセキュリティ的にいいか、というと、公開されているのは静的ファイルが置かれているサーバーであり、記事を生成する根幹となるWPが入ったサーバーは非公開のため、ほぼ第三者に存在を知られることはない、ということ。
僕が実際にWP関係でセキュリティ施策したのは上記3種くらいかなぁ。専用サーバーでVPNでしかつながらないっていうのも経験していますが、それはWP云々関係ないレベルかと思いますし・・・w
こんな方法での管理は危険
だーっと書きなぐりましたが、またキレイにまとめる時間があったときにまとめ直します。
さて最後に「こんな管理方法は嫌だ」という管理方法をご紹介します。セキュリティを何も施していない、とかじゃなく、杜撰すぎて逆に思いつかないというか、ありえない管理方法だな、という管理方法です。
幾つもの制作会社を渡り歩いたわけではないので、この方法が一般的なのかどうかはわかりませんが、大変悲惨なことになりましたので、結果を共有したく。
ひとつのレンサバ内に様々な企業のWPを詰め込む
ひとつのレンサバにどれくらいの数のサイトが入ってたか覚えていませんが、100社(100サイト)くらいあったのかな(細かくは覚えていません)。
rootに各社ごとにフォルダ分けして、そこにマルチドメインをあてていく?のか、フォルダ1コ1コがひとつの会社のサイトが格納されているフォルダでした。
それぞれのクライアントには「レンサバ代と管理費用」で5000円~2万円/月請求していました(つまり、レンサバ1契約で200万近くの利益を挙げる仕組み)。
この仕組みを考えたのはその制作会社の社長です。
パーテーション切ってるわけでもないので、FFFTPでそのサーバーにアクセスすると、ずらーっと各社のサイトが入ってるフォルダが並んでる状態です。
そのなかにはWPのサイトもあれば、ない場合もあるんですが、これ、非常に危険なんです。操作を間違えて別のフォルダにデータアップしたら別の会社のサイトを編集してしまうわけですし・・・
で、このサーバーの中にはいってるWPが攻撃を食らった
わけですよ。このサーバーを借りているレンサバ会社の特性でもあるんですけど、自社のサーバーが外部から攻撃を食らった、と判断すると、まず、その借りているレンサバへのアクセスがシャットダウンされてしまいます。ここでお気づきの方もいるとは思うんですけど、1つのアカウントにつき、1社で契約していれば、そのクライアントさんに「攻撃食らってサーバー会社がアクセス遮断してしまいアクセス出来ない状態です」と報告するだけなんですけど、このアカウントには100社のサイトが入ってるのですよ。で、レンサバ会社はそのレンサバ1アカウントへのアクセスを遮断です。そう、1アカウントなんだけど、=100社遮断状態になります。
そのサーバー内にあるクライアントのサイトが一斉にアクセスできなくなるって想像出来ます?
バレたらいけない
更に言うと、各お客さんごとには「ちゃんとレンサバをそれぞれ契約している」体になっているし、こんな管理方法を取っていることなんてバレるわけにもいかない、ということでお客さんが気づく前に改ざんファイルを削除したり原因究明しないといけない。クライアントへの報告もせずに、まずはサーバー会社にシャットダウンをやめるように交渉して、FFFTPで改ざんファイルを探します。一斉に検索で、ではなく、タイムスタンプ見て、今日編集したわけないのに今日の日付になっているフォルダや過去すぎる古いファイルなどを見つけては削除したり中身みたり。
そうこうしているうちにクライアントからサイトが開かない、アクセス出来ない的な連絡が来るんですけど、サーバー会社がメンテやってるとか、他のウチのクライアントじゃない会社が攻撃されてレンサバ全体でアクセス遮断してるだのテキトーなこといってごまかしてました(もちろん、社長命令です)。
僕が在職中に3回くらいあったかな・・・。このシャットダウン騒動。そのたびに抱えてる仕事を全部放置して一斉にFTPを見に行って、改ざんファイルの捜索作業。ほぼ徹夜です。
そのうち、クライアントも気づいて、別の制作会社でリニューアルしますってことにもなったし、退職後の話しですけど訴えられた?ような話も聞きました。
こんな管理方法は絶対にしないほうがいいです。
スポンサーリンク