先日、ある会社のホームページが改竄されました。その会社から2021年11月10日に「弊社ホームページへの不正アクセスと改ざんの経緯と原因、今後の対策について」という告知が出ているので解説してみたいと思います。
この会社のコーポレートサイトはWordPressというCMS(コンテンツマネジメントシステム)で作られているようです。ここだけ見ると「また、WordPressで改竄か」と思われるでしょうが、残念ながら違いました。同じ場所に放置してあった旧コーポレートサイトで使っているMovableTypeの脆弱性を突かれて現コーポレートサイトを改竄されたというものでした。
告知を読んでみると「11月5日にIPAから警告が出た直後であったため、対応が追いついていませんでした」と書かれていますが、攻撃は「2021/11/07 午前9時前後に、サイト運営ベンダーが弊社ホームページの異常を確認」と書かれていることから2日後に行われていることが判ります。なので、直後ではないですね。対応に必要な時間は充分にありました。攻撃者は土日祝日関係なくやってきますから、金曜日に情報が出たから休み明けに…なんて呑気なことを言っていると被害に遭います。また、脆弱性が発見された段階(公開された段階ではないことに注意)で攻撃コードが飛んできますので、脆弱性対応は直ぐに行動することが重要になります。
また「古いMovableTypeのファイルを残していたことが今回の原因でした」とも書かれています。正直な所、何故、古いサイトのファイルを残していたのか疑問です。用済みになったものは速やかに捨てないと、そちらで使っていたプログラムの脆弱性を突かれて改竄されるという事は、稀に見られます。例えば、CMS導入以前のサイトで使っていたCGIと呼ばれるプログラム(掲示板や問い合わせ用とかが多いです)が残されていて、その脆弱性を突かれて改竄されるという事例もあります。尚且つ、用済みになったものはセキュリティ対応もされずに、いつか存在すら忘れ去られるものですから最悪です。気が付かないうちにセキュリティホールだらけというのは、ありがちな話です。
ちなみに、弊社サイトも創業時にはMovableTypeで構築していましたが、ある時期にWordPressへ移行しました。今回の事例の会社さんと同じパターンですね。
その時にはどうやったかというと、サーバー上で旧サイトを置いてあるディレクトリとは別に新サイト用のディレクトリを作成して新サイトを構築(構築中のURLはテスト用を用意しました)し、新サイトの構築が終了した段階でウェブ用ミドルウェア(弊社ではApacheを使用)の設定とWordPressの設定を書き換えて切り替えました。そうすると、旧サイトのファイルを丸々残していても外部からアクセスすることが出来なくなるので安全です。尚且つ、旧サイトのファイルが不要になった時(要するに新サイトが安定し戻す必要が無くなった時)にはディレクトリごと削除できますので簡単です。弊社のサーバーはVPS(仮想プライベートサーバー)を使っているので出来る技ではあるのですが…
それが出来ない場合は、旧サイトと新サイトを別のサーバーにしてしまうと言うのも安全に切り替える為の手段の一つではあります。この場合はDNS(ドメインネームサーバー)を書き換えることで切替を実現します。旧サイトのファイルが不要になった時には、そちらのサーバーを解約すれば丸ごと消えてくれます。
旧サイトと新サイトを同一のサーバー、かつ、同一のディレクトリに置くのは最悪の切替方法ですので、是非とも参考にしてください。
不要になった使い古しは「もったいない精神」を捨てて、速やかに削除しましょう。