事故の概要

あるメディアの、公開前テストサイトの乗っ取り。公開前のサーバーだからとBasic認証のIDパスワード、CMSのIDパスワードの強度が弱く、狙われた。

被害総額

サーバーの立て直し、サイトのバックアップからの復旧に2日間。＋人件費。サイトの調査費用×3回分。

事故発覚の経緯

診断会社に診断の申し込みがあった。ある大手メディア会社が新しくメディアを立ち上げるという。テストサイトで公開まえ。Basic認証だけはかかっているといういつもの状態だ。

そのサイトを見たところ…乗っ取られとるやんけ！サイトのバナーがバイアグラと、クネクネのアダルティな画像に。  我々がちょうど診断するタイミング、タイムリーに乗っ取りを発見した。

初動対応

幸い、編集権限しか乗っ取られていなかったので、被害は特定のページのみ。だが、大事を取りサーバを潰しOSのインストールからすぐにやり直した。

これにより、2日間のロスが発生した。

原因と予防策

管理画面へのアクセスに、IP認証。 WordPressを最新版に。まずはそこから。

余談だが、特定のCMSなどのバージョンは意外と確認しやすい。

・Html上にあるgeneretorタグ

・/feed/

・requestheader

・利用中のjqueryのバージョンから

・利用中のcssにcmsバージョンが付記されているなど

などからも確認可能。

利用中のCMSやミドルウェアに脆弱性があって対策やアップデートせず古いバージョンのまま利用していれば、最悪はお漏らししちゃうかもね。

それだけでなく、

・サイトが更新されてない　→　そもそもwebに興味ない

・phpinfoが設置されたまま　→システム管理がざるの可能性

・しかるべきページにSSLが導入されてない　→情報保護に関心ない

・問合せフォームのエラーチェック（バリデーション）が適当　→　やる気ない

・Responceheaderに色々と隠匿すべき情報が満載　→　管理されてない

この辺は、CMSの脆弱性として塞いでおくべき。

モリイコウジから一言

何も言うことあらへん。CMSはとにかく危ないんですわ。気をつけなはれや。