エス技研

WordPress、CakePHP、PHP、baserCMSなどの Web系システムを中心に情報を提供します!


ロリポップで非常に大きなハッキング騒動がありました。

      2014/06/26

ロリポップの WordPressハッキング騒動

 

ハッキング騒動の経緯

 
08月29日、ロリポップで非常に大きなハッキング騒動がありました。
 
下記は、その経緯とその過程をまとめたサイト。
 http://webshufu.com/wordpress-krad-xin-hacked-many-japanese-sites/
 
 
記事にも書かれていますが、最初は、WordPressの個別プラグイン、テーマの脆弱性を狙ったもの、とアナウンスしていましたが、結局はサーバ側の設定ミスが原因の大規模なハッキングでした、と訂正されましたね。
 
このブログは FC2ブログですので全く無関係ですが、個人的にロリポップサーバを借りていることもあり、そちらでは直接的な被害がありました。
(問題の震源地となった WordPressもインストールしていましたが、WordPressの実験環境だということもあり、まるっと削除しても問題ない環境でしたが、そちらは特に大きな問題はありませんでしたね。)
 
 

ハッキング騒動の影響

 
ロリポップサーバで運用しているのは、個人的な Webサイト。
そして、間の悪いことに、前の週からちょうどそのサイトをリニューアルの作業をしていたのです。
...いや、間がよかったと思いたい。その個人的な Webサイトは、自分で見る必要性はないため、実際に自分で見る機会はほとんどなく、リニューアルの作業をしていなかったらいまだに気づいていなかったかもしれないのですからね。
 
 
8月31日朝。
土曜日で会社が休みだったので、前週の続きの作業をしようとしたのですが、
 
導入していた CMSのログイン画面からアクセスできない。
「パスワードを忘れた方はこちら」からパスワードを送信しようとしてもエラーが発生する。
 
さらに、
そこで、ID、PASSを確認するために、phpMyAdminから DBにアクセスしようとするも ID、PASSが違うといわれる。
ロリポップの管理画面から phpMyAdminにアクセスしようとすると、なんと!パスワードが違うものになっているっ!!!
 
このとき
  これはまずい!!
  ハッキングされた?!
瞬間的にそう思いました。
 
そして、問合せをしようとロリポップのサポートページに移動すると....WordPressが大量にハッキングされているため、DBのパスワードを変更させていただきました、とのアナウンスが!
 
少しホッとすると同時に、なんだか面倒なことになったなぁ、と思わずにいられませんでした。
 
 

具体的に費やした作業

 
そして、ロリポップのアナウンスでは、すべてのユーザの DBのパスワードを勝手に変更したと書いてあり、また、同様に WordPressの設定ファイルのパスワードも勝手に変更しました、と書かれていました。
ですが、それ以外のものについては一切触れず、その他はユーザが個別に対応していくしかありませんでした。
 
私が作業をしていた個人用の Webサイトは、baserCMSという CMSを使って構築をしていましたが、もちろん、この CMSの DB接続のためのパスワードの設定は変更されていなかったわけです。
そして、なぜか DB接続のためのパスワードを変更してもうまく動作せず、これは、ロリポップが DBのパスワードを変更してしまったことによることなのか、baserCMSに何らかの不具合があったのかはわかりませんが、結局原因分からず再設定を余儀なくされました。(全ファイルを削除し、baserCMSのインストールからやり直し...)
 
その後も、これは baserCMSの問題と、私の作業ミスもあってのことですが、4回、5回とインストールを繰り返し、結局復旧までに丸一日を費やす結果となってしまいました。
 
 
そのほか、オリジナルのプログラムも作って公開していましたので、そちらも動かなくなっていまして、被害甚大でした。
緊急避難的措置とはいえ、DBのパスワードを変更するとは思い切ったことをやったものだ、と思いましたね。
 
私の場合はそのサイトは趣味で公開しているものですので、特に個人的な対応の面倒くささだけですが、業務で何かしら使っているサイトが乗っていた場合は、直接的な対応コストだけでなく、Webサイトが動かなかったことによる機会損失まで考えるとかなーり痛手を被ったところもあろうことは想像に難くありませんね。
 
ちなみに、オリジナルのプログラムを公開している部分は、エラーメッセージが出ているのだけは確認しましたが....さすがに疲れてその日は放置することとなりました。
 
そちらはそちらでトラブルがありましたので、また別途ご報告します。
 
 

ロリポップサーバを使っている理由

 
ちなみに、ロリポップサーバは、GMO系列ということもありまして使っています。
 
別にロリポップサーバのサービスが好きとか、GMOが好きというわけではなく...まぁ、GMOは大きなサーバ事業会社ということもあり、業務がらみでこれまで多くの取引もしてきましたし、転職の際には GMOを受けて落ちたりもしましたし、他には友達が結婚する際には諸事情あって GMOのあの社長が主賓として列席していたりもしまして、GMOのことはよく存じておりますが...実際のところは単に、GMOインターネットの株を持っていると株主優待が受けられて、全くコストをかけずにドメイン付でサーバが運営できるために利用しているわけです。
当時 1株 295円。単位株数が 100株でしたので 30,000円弱ほどの投資でサーバ運用コストがゼロになるのは魅力でしたからね。
その後、現在の株価は 1,000円くらいになっており、キャピタルゲインも投資額の 3倍近くにもなっていますので、いいタイミングで買えたのかなぁ、と思いつつも、優待目的なので売る理由もないので、今の株価が高かろうが安かろうが関係ないわけですが。
 
 
 
2014.01.15 追記
現在は、このブログは FC2ブログからロリポップサーバに移して運用をしています。

 - システム開発関連技術

GoogleAdwords

GoogleAdwords

最後までお読みいただきましてありがとうございます。
この記事が参考になったと思いましたらソーシャルメディアで共有していただけると嬉しいです!

Message

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です

下記の空欄を埋めてください。 * Time limit is exhausted. Please reload CAPTCHA.

日本語が含まれない投稿は無視されますのでご注意ください。(スパム対策)

※入力いただいたコメントは管理者の承認後に掲載されます。

  関連記事

XAMPPのApacheが起動しない!ポート番号の変更でバッティングの解消方法
XAMPPのApacheが起動しない!ポート番号の変更でバッティングの解消方法

XAMPPを起動する際、Apacheのポートがバッティングして起動しない場合がある。XAMPP側のポートを変更する方法、バッティングしているプログラムを変更する方法の2種類の対応方法を解説。

IEのHTMLソースを秀丸表示で共有メモリへのアクセスが拒否されましたで開けない問題への対処方法

Windows7の IEで HTMLソースを秀丸で表示する際に「共有メモリへのアクセスが拒否されました」のエラーが表示される原因と解決方法の説明。

Windowsで環境変数のパスの設定方法解説。不具合時のチェックポイントも紹介
Windowsで環境変数のパスの設定方法解説。不具合時のチェックポイントも紹介

Windowsで環境変数であるパス(path)の設定方法の解説。標準的な解説に加え、うまくいかない場合のチェック方法や別の設定方法の解説も。うまく設定できない状況は極力なくなるはず。

Windowsのメモリ不足はUSBメモリに仮想メモリをおいて高速化

Windowsでメモリ不足の時はUSBメモリ上に仮想メモリ(ページングファイル)設定で解決します。

XAMPP環境(ローカル環境)の sendmailからPHPメールを送信する設定方法

メールサーバが設定されていない、ローカルの XAMPP環境からメールを送信する方法の解説です。

XAMPPとは?パソコンにローカル LAMP環境を簡単に設置する方法を詳細解説
XAMPPとは?パソコンにローカル LAMP環境を簡単に設置する方法を詳細解説

パソコンに LAMP環境を簡単に構築することができるパッケージ「XAMPP」。そのインストール方法を詳細解説。インストール後の不具合やカスタマイズ方法についても説明。

XAMPPにVirtualHostを設定しドキュメントルートを設置する方法
XAMPPにVirtualHostを設定しドメイン、ドキュメントルートを設置する方法

XAMPPにVirtualHostを設定し、DocumentRootを設置する方法を2つ紹介。ポートを指定してアクセスする方法とhostsを設定してドメインでアクセスする方法。エラーの解消方法も解説。

PHPを勉強するための環境を構築するにはXAMPPが最適

PHPを勉強する環境としてローカル環境を構築するには XAMPPが最適。その解説です。

Windows 10パソコンで日付、時間がずれる!原因と時計を合わせる解決方法
Windows 10パソコンで日付、時間がずれる!原因と時計を合わせる解決方法

Windows 10のパソコンでスリープから復帰すると日付がズレる不具合が発生。その時の対応方法の時計の設定やマザーボードの電池の交換の方法を紹介。プラスαの不具合の原因と対応方法を紹介。

秀丸の現在開いているファイル名をフルパス付で取得する方法をマクロで作成

秀丸で開いているファイル名をフルパス付で取得するマクロを作成。たった1行のマクロながらとっても便利。プログラムを作る方なら作成して置いて損はないマクロですね。