体験を伝える―『ガジェット通信』の考え方

面白いものを探しにいこう 本物を体験し体感しよう 会いたい人に会いに行こう 見たことのないものを見に行こう そしてそれをやわらかくみんなに伝えよう [→ガジェ通についてもっと詳しく] [→ガジェット通信フロアについて]

ロリポップ!への大規模攻撃——明日は我が身! 自衛するには?

ロリポップ! WEBサイトより引用

8月下旬にレンタルサーバーサービス『ロリポップ!』において大規模なWEBサイト改ざん被害が発生した件について、同サービスを運営するpaperboy&co.が原因と対策をまとめた調査結果を9日夜に公表しました。同社発表によると、原因は未インストール状態のWordPress及びパーミッション設定の不備であり、被害は8,438件にのぼったとされています。

パーミッション設定の不備が原因でこのような事態が発生するのは、共用レンタルサーバーの弱点といえるでしょう。共用レンタルサーバーにおいては、1つのサーバーに複数の契約者のユーザーアカウントが同居する形になり、専用サーバーやVPSに比べるとユーザーアカウント毎の環境が完全に分離されているわけではないからです。

別の共用レンタルサーバーのサービスを利用しているとしても、もしかしたら明日攻撃を受けるかも知れません。うっかり間違えた設定が命取りです。では、どうすれば自分のサイトを改ざんから守れるのか、本稿では基本的な自衛策をご紹介したいと思います。もし既にご存じの方でも再度チェックしてみてはいかがでしょうか。

改ざんからの自衛策

この節では、特に今回の被害の対象となったWordPressを使用するケースを中心に、自衛策について要点を述べます。

未インストール状態で放置しない

同社によると、今回の『ロリポップ!』への大規模攻撃においては、『簡単インストール』の処理過程において、未インストール状態で放置されていたWordPressが攻撃の踏み台となりました。

『簡単インストール』ではなく、手動インストールを行う場合も気を付ける必要があります。WordPressは、最初の起動時にインストールを行う仕様です。しかし、WordPressをアップロードしただけで満足して、インストールを実行せずに放置してしまうと、最悪の場合、WordPressの管理者権限をクラッカーに奪われることになります。プラグインやテーマもインストールし放題になり、不正なプログラムを仕込むことも可能となってしまいます。他ユーザーアカウントへの攻撃の踏み台となれば、自分だけではなく他人にも影響が及ぶのです。

原則論からいえば、未インストール状態のWEBサイトをインターネット上に公開してはならないのですが、レンタルサーバーの特性上、やむを得ない部分もあります。ですので、もしWEBサイトに未インストールのWordPressをアップロードを行った場合は、すぐにインストールを済ませてしまうか、install.phpのパーミッションを変更して実行できないようにしておくなどの対策が必要です。

suEXECが有効になっているレンタルサーバーを利用する

これは、レンタルサーバー選びの時点の話です。レンタルサーバーでは、suEXEC(場合によってはsuPHPも)が有効になっているのが基本です。あまりにも常識的なことですので、機能一覧に記述されていない場合もあるのですが、「レンタルサーバー名 suEXEC」というキーワードでグーグルで検索することで、そのレンタルサーバーでsuEXECが有効になっているかどうかの情報を得られるはずです。もしそれでも分からなければレンタルサーバーサーボスのサポート窓口に問い合わせるなどしてみてください。もし、正当な理由(OSがLinuxやUnixではない、VPSなどでユーザー毎に独立した環境が構築されている等)もなく、suEXECが有効になっていないのであれば、そのレンタルサーバーは解約するべきでしょう。

パーミッションの設定は最小限にする(特に機密情報を含むファイル)

今回の『ロリポップ!』への大規模攻撃では、パスワードなどが記された設定ファイルの、パーミッション(ファイルのアクセス許可設定)の不備が原因であったとされています。同社発表によると、『wp-config.php』のパーミッションが644(rw-r--r--)になっていた(つまり、他の契約者のユーザーアカウントからでも閲覧可能となっていた)ことで、同ファイルに含まれるデータベースへの接続パスワードなどを不正に取得されたとのことです。

1 2 3次のページ
  • 誤字を発見した方はこちらからご連絡ください。
  • ガジェット通信編集部への情報提供はこちらから
  • 記事内の筆者見解は明示のない限りガジェット通信を代表するものではありません。