Your browser (Internet Explorer 6) is out of date. It has known security flaws and may not display all features of this and other websites. Learn how to update your browser.
X
Post

WordPressのサイト改ざんが行われた件について、サイトリストから読み取れること

複数のWordpressサイトに対する攻撃が行われたので、それに関して思うところを少々。

(8.30 6:50頃に記事を追加しました。結論としてはこの記事の推測は誤っていました)


【緊急警報!!】ロリポップとGMOのinterQのWordPressが軒並み乗っ取られてます | More Access! More Fun!

続) ロリポップのWordPress大量乗っ取りについての推測と対応 | More Access! More Fun!

こちらの記事に書いてあるように、複数のWordpressサイトへの同時攻撃が行われました。
なお、当サイトは現時点ではこの攻撃はされていません。

情報が不足しておりどういうセキュリティホールを突いた攻撃なのかは分からないので、
ちょっと違うアプローチからこの件について語ってみようと思います。

上のリンク先に書かれていますが、この事件は
ハッカーが犯行声明を出しており、攻撃成功したサイトのリストを公開しています。
このリストのドメインを調べてみると、大半がロリポップサーバ上のものです。
(自分が何点か適当に当たったら全部ロリポップでした)

純粋にWPのセキュリティホールであればどのサーバであるかは関係なく、
攻撃されるサイトのサーバもバラバラになるはずです。
また、サイトリストを見るとドメイン直下にインストールしたものに限らず、
テスト用に設置したと思われるサブディレクトリも正確に狙い打っています。
つまりこれはロリポップ(とGMO)を集中的に狙った攻撃なのですが、
それではどうやってロリポップサーバで稼動しているWPサイトのリストを取得したのか……


当社サービス「ロリポップ!レンタルサーバー」ユーザーサイトへの第三者による大規模攻撃について / 新着情報 / お知らせ – レンタルサーバーならロリポップ!

ここに次のような一文があります。

[対象のお客さま]
「ロリポップ!レンタルサーバー」のユーザーサーバーにおいて
WordPressをインストールされている一部のお客さま(4,802件)

「一部」とは言え、WordPressを利用しているユーザ数を正確に把握しています。
このユーザ件数をどうやって算出したか……と考えると
WPのインストール機能を利用した履歴というのがもっとも妥当かと思います。

ロリポップにはWPのインストール機能というものが提供されています。
これは自分でWPのファイルをFTPでアップロードするのではなく、
ロリポップ上の管理パネルからディレクトリを指定し、そこにWPを自動でインストールするという機能です。
(GMOのinterQではこの機能があるか分かりません)

つまり、ロリポップはこの自動インストール機能を利用した
ユーザやディレクトリなどの履歴をデータとして保管しており、
ハッカーはその情報を抜き取って攻撃対象を選んだのではないか……と推測する次第です。


とりあえずこんな所で。
何か新しい事が分かったらさらに追記するかもしれません。

TrackBack URL :

Leave a comment  

name

email

website

Submit comment