「ロリポップ！」で大規模なWordPressへの攻撃発覚、注意喚起した人がなぜかGMO社長に絡まれる

「ロリポップ！」で大規模なWordPressへの攻撃発覚、注意喚起した人がなぜかGMO社長に絡まれる 105

ストーリー by hylom 2013年08月30日 18時23分
問題を確認したらどうすべきかはよく議論になりますが部門より

あるAnonymous Coward 曰く、

先日、レンタルサーバーサービス「ロリポップ！」上でWordPressを利用しているサイトが多数改ざんされるという問題が発生した。ロリポップ！からは公式なアナウンスも出ているのだが、これについてロリポップが問題が把握する以前に攻撃の事実を確認して注意喚起をした人が、Twitter上でGMOの熊谷社長から「風説の流布になりますよ」と言われていたことが話題になっている。また、同氏は「弊社サービスへのハッキングの事実はありません」と述べたものも、その後の調査で8000件以上の被害が発生していることが確認された。
社内で確認されていないセキュリティ案件が外部で話題になっているというのは確かに焦るだろうが、とはいえ内部での確認が取れていない状態でこのような対応をするのはいささか問題があるように見える。また、外部で情報が公開されたためにその後すぐに対応が取られたという風にも見えてしまう。
なお、ロリポップ側は「WordPressのプラグインやテーマの脆弱性を利用し、不正なファイルがアップロードされました」と発表しているが、問題はこれだけではなく、ロリポップで提供されているWordPressの設定ファイル（.htaccessおよびwp-config.php）の初期設定でのパーミッションが不適切で同一サーバー内の他のユーザーからその内容が見えてしまうような状態であったことや、一部のMySQLサーバーに対しインターネットから無制限での接続が可能だった点など、ロリポップ側の不適切な設定によって被害が大きくなっているとの指摘もある。
また、Apache HTTP Serverにおけるsymlink関連のセキュリティ問題が使われてアカウントを窃取されたのではないか、という声もあるようだ。

この議論は賞味期限が切れたので、アーカイブ化されています。新たにコメントを付けることはできません。

記事ページを表示すべてのコメント取得

検索105コメント Log In/Create an Account

経過報告 (スコア:3, 興味深い)

by Anonymous Coward on 2013年08月30日 23時18分 (#2451341)

週末しか自分のサイトを確認していなかったのですが、今、管理者用アカウントでログインしたところ見事にクラッキングされていました。
ログイン後の最初のページの左上に「Hacked by Krad Xin」と出ています。
まだ、ぱらっと見ただけですが、と文字コードがUTF-7に指定されていました。
ブラウザで文字コードを強制的に変更してやれば見えるようです。
ネットでwb-config.phpのアクセス権が不適切な設定がされていると見られるのでは、というのがありましたが、
FTPで確認しましたが、現在のwb-config.phpのアクセス権は400（オーナー以外呼び出し不可)になっています。
変えた覚えがないので、Lolipop側で変更されたんでしょうか？
- Re:経過報告 (スコア:1)
  
  by Anonymous Coward on 2013年08月31日 0時20分 (#2451384)
  
  Lolipopが変更作業をやっているようです
  Lolipopのサイトにも出てるし、別コメにもあるように、メールで「変更する（した）」の連絡が来てるはず
  
  シェア
  
  親コメント
- - Re:経過報告 (スコア:1)
    
    by Anonymous Coward on 2013年08月31日 3時04分 (#2451438)
    
    ＞このwordpressって、自分でファイルをアップロードしてインストールするものなのか、それともサービス側がウェブの管理画面でボタンクリックするだけで自前の一式を設置して自動インストールしてくれるものなのか、どっちなんだろう。
    Wordpress自体はオープンソースで公開、配布されていて、自分でウェブサーバー上にインストールできますが、
    多くのレンタルサーバーでは手軽に始められるようにと、ウェブ画面から簡単にインストールできる機能を提供しています。
    つまりどちらもありうるわけです。
    ロリポップでは後者において問題があったとされていますが、
    ユーザーが自分でインストール場合でもパーミッションを適切に設定しないミスをすることもありえます。
    が、やはり今回の大規模な被害についてはロリポップの責任でしょう
    
    シェア
    
    親コメント
アカウントを窃取 (スコア:2, すばらしい洞察)

by Anonymous Coward on 2013年08月30日 20時17分 (#2451256)

　あんな発言する人が社長なわけないじゃありませんか。Twitterアカウントも乗っ取られていたんですよ。
　もしくは社長さんがクラックされてたのかもしれませんね。
- Re:アカウントを窃取 (スコア:4, おもしろおかしい)
  
  by Anonymous Coward on 2013年08月30日 20時33分 (#2451261)
  
  クラックされてるならまともだった可能性があるからいいけど、最初からクラッシュしていた可能性も否定できない。
  
  シェア
  
  親コメント
- Re: (スコア:0)
  
  by Anonymous Coward
  
  社長はクラックをキメていたのかもしれない
- Re: (スコア:0)
  
  by Anonymous Coward
  
  社長さんに脆弱性があったのは間違いなさそうだけど。
つまり (スコア:1)

by Anonymous Coward on 2013年08月30日 18時43分 (#2451194)

社長が「弊社サービスへのハッキングの事実はありません」と、風説の流布を行っていたわけですね。
いやぁ、悪質だなぁｗ
- Re:つまり (スコア:5, おもしろおかしい)
  
  by Anonymous Coward on 2013年08月30日 19時02分 (#2451206)
  
  社長「私および弊社は間抜けです」
  と注意喚起してたんだよ。なんたる捨て身の警告か。
  
  シェア
  
  親コメント
  - すばらしい会社 (スコア:1)
    
    by Anonymous Coward on 2013年08月30日 19時05分 (#2451207)
    
    ユーザーの為に自らのダメっぷりを公言するなんて、なかなか真似できる事じゃありません。
    彼らはまったくもってすばらしいビジネスパーソンです。
    
    シェア
    
    親コメント
- Re:つまり (スコア:2)
  
  by kawasaki_z750s (32690) on 2013年08月30日 19時52分 (#2451245)
  
  「うちの子に限って！」みたいな気持ちだったのかな…
  
  シェア
  
  親コメント
- Re:つまり (スコア:1)
  
  by Anonymous Coward on 2013年08月30日 19時01分 (#2451204)
  
  事実ではありませんと言った上で「事実でなかったらどう責任を取るつもりなんですか？」なんて恫喝までしてるんだから救いようがないｗ
  
  シェア
  
  親コメント
  - Re: (スコア:0)
    
    by Anonymous Coward
    
    完全に恐喝罪だよね、ロリポップの社長は。
- Re: (スコア:0)
  
  by Anonymous Coward
  
  しかも注意喚起した人は、ちゃんと事前にGMOのサポートへ連絡していたそうだからね。
  すぐに社長に連絡できなかったサポート体制がゴミなのか、
  サポート担当に確認を取らなかった社長がゴミなのか……。
  両方かな。
  - Re:つまり (スコア:1)
    
    by Anonymous Coward on 2013年08月30日 21時28分 (#2451293)
    
    いや、会社の規模にもよるが、事実確認よりも前にサポート側から社長に連絡するという体制は大変そうだ。連絡を受ける社長が。
    ガセ情報に踊らされることは結構あるので。いちいち社長にまで報告がいくのもどうかと。
    社長がサポート担当に確認を取らなかったのか、
    確認は取ったけどサポート担当が報告しなかったのか、
    確認を取って連絡があったことを知っていたけど「事実はない」としたのか
    そこはわからないけど、そっちはちゃんと機能してるべきだとは思う。
    
    シェア
    
    親コメント
GMOというだけで (スコア:1)

by Anonymous Coward on 2013年08月30日 19時00分 (#2451203)

納得できてしまいますね
このザル加減といい、恫喝といい・・・おや誰かきたようだ、うわ、何をｓ
- Re:GMOというだけで (スコア:5, 興味深い)
  
  by miyuri (33181) on 2013年08月30日 19時20分 (#2451220) 日記
  
  アホな対応で株価にまで影響したら、この熊谷正寿(GMOインターネットの代表取締役会長兼社長)は、どう責任を取るのだろうね。
  https://twitter.com/m_kumagai/status/372737835360858112 [twitter.com]
  熊谷正寿@m_kumagai 2013年8月28日 - 8:09
  あなたの指摘で事実確認中ですが、確認が出来ていない情報をこんなに拡散して本当に困ったもんだ。事実でなかったらどう責任を取るつもりなんですか？株価にまで言及してますが責任とれますか？現段階でWPの脆弱性は確認出来てますが弊社へのハッキングなどの事実は確認できません@Isseki3
  
  シェア
  
  親コメント
  - Re:GMOというだけで (スコア:1)
    
    by Anonymous Coward on 2013年08月30日 23時28分 (#2451351)
    
    そんな最中、セルリアンタワー11FのGMO Yoursでは納涼会と称して
    浴衣美女祭りをしていたから笑えるね＾＾
    しかも、納涼会はSNSに書き込むな！という徹底ぶり
    ペパボさんは対応お疲れ様です。運が悪かっただけだ
    
    シェア
    
    親コメント
  - - Re:GMOというだけで (スコア:2)
      
      by nmaeda (5111) on 2013年09月01日 10時37分 (#2451843)
      
      経営者も従業員も、それなりに株価を気にするべきだろうが、ユーザの被害に言及せず、発言が株価だけでは、それこそ株価が落ちかねない。ユーザーが離れていけば、会社が儲かるわけがないのだから。
      自社の株価にまったく興味がない従業員もちょっとお子様だが、自社の製品やサービスについて充分に把握していない経営者もダメダメなことには変わりがない。
      
      シェア
      
      親コメント
- Re:GMOというだけで (スコア:1)
  
  by Oh-MissSpell (37716) on 2013年08月30日 22時50分 (#2451325) 日記
  
  関連情報に、つい先日のmamononewsの件 [srad.jp]が入ってないけど、
  正直GMOには関わりたくないですね
  
  シェア
  
  親コメント
  - - Re:GMOというだけで (スコア:1)
      
      by Oh-MissSpell (37716) on 2013年09月01日 10時07分 (#2451840) 日記
      
      個人的には、さくらインターネットかなぁ
      #【PR】
      
      シェア
      
      親コメント
- Re:GMOというだけで (スコア:1)
  
  by miishika (12648) on 2013年08月31日 23時30分 (#2451782) 日記
  
  こんなに恫喝されるなら、運用部門も萎縮してしまって、問題発生のおそれだけでは誰にも報告しなく
  なるかもしれない。明確な被害が確認されるまで(確認されても)隠し通すのでは。
  
  シェア
  
  親コメント
- 気をつけねば (スコア:0)
  
  by Anonymous Coward
  
  　損害賠償請求がスラドに……
  　カナダ・ケベックのホテルでトコジラミに刺されたことをレビューに書いた男性にホテルが損害賠償を請求
  　http://it.srad.jp/story/13/08/25/0124252/ [srad.jp]
- Re: (スコア:0)
  
  by Anonymous Coward
  
  ここ数年だけでGMOクリック証券のトラブルに3回も巻き込まれて10万くらいの実損が発生してる俺としてもすげー納得するわ。
  これも風説の流布で捕まるかな、でも事実だからな。
  
  とはいえ取引一回缶コーヒー以下の安さという魅力は捨てがたくて、困ってしまう。
  
  なんか楽天に近いものあるな
  企業の体質は信用できず、トップの人柄は最低だが、コスパだけは圧倒的に良くて、文句を言いつつ、結局は我慢して使ってしまう。
ロリポップか (スコア:1, 興味深い)

by PEEK (27419) on 2013年08月30日 19時57分 (#2451248) 日記

昔買ってたよ。
「魔狩人」好きだったな～

--
らじゃったのだ
- Re:ロリポップか (スコア:1)
  
  by renja (12958) on 2013年08月30日 20時05分 (#2451253) 日記
  
  私が初めて読んだのはタイトルがすでに「Ⅱ」付きでした。
  ＃とりあえず古本屋で見つけた一巻と、コミケ見物にいったときに同人誌買ってきました。
  ＃あの人の漫画、単行本にならないの多すぎて悲しい。
  
  --
  
  ψアレゲな事を真面目にやることこそアレゲだと思う。
  
  シェア
  
  親コメント
哀れ (スコア:1)

by Anonymous Coward on 2013年08月31日 7時57分 (#2451465)

この熊谷正寿ってバカ社長、逆ギレの件だけでなく、
自分を賞賛するツイートばかり非公式RTで広めてるのが何とも……小物だな
WordPressって登場当初にちょっと弱くね (スコア:0)

by Anonymous Coward on 2013年08月30日 18時43分 (#2451193)

って話がちょろっと出たけど急に「使いやすい」みたいな話ばかりになり
爆発的に広がったよね。
まぁどうでもいい話だけどね
- Re: (スコア:0)
  
  by Anonymous Coward
  
  実際に低予算で中小規模のホームページデザイン案件を請け負っていると、WordPressはかなり使いやすいです。
  更新画面のUIがBlogベースだと納品先の担当者の方に理解してもらいやすいですし、
  ちょっと凝った要望が出ても、プラグインである程度は対応できるからです。
  - Re:WordPressって登場当初にちょっと弱くね (スコア:1)
    
    by Anonymous Coward on 2013年08月30日 19時11分 (#2451212)
    
    個人的にはMT派ですが、業務はどんどんWordPressに流れていっています。
    ライセンス変更が痛いです。
    # 必ずしもMTが「安全」とは言わない。かなりマシだとは思いますが。
    
    シェア
    
    親コメント
  - - - Re:WordPressって登場当初にちょっと弱くね (スコア:2)
        
        by gogogo (34402) on 2013年08月31日 1時42分 (#2451419)
        
        Oracleなんかと一緒で、結局は使える人が多いってのが重要なんですよね
        とはいえ、個人的にはMODX推し
        
        シェア
        
        親コメント
- Re: (スコア:0)
  
  by Anonymous Coward
  
  今回は結局、Wordpressは完全濡れ衣だった模様。
  （まだロリポはそうとは認めてないけどね）
- Re: (スコア:0)
  
  by Anonymous Coward
  
  このスラドの兄弟サイトであるSourceforge.jpでもWordPressを使ったblogサービスを提供しているね。
  - Re:WordPressって登場当初にちょっと弱くね (スコア:2)
    
    by miyuri (33181) on 2013年08月31日 11時28分 (#2451520) 日記
    
    ふつーに『姉妹サイト』でいいと思う。
    
    シェア
    
    親コメント
手当たり次第？ (スコア:0)

by Anonymous Coward on 2013年08月30日 19時12分 (#2451213)

詳細は知りませんが、手当たり次第にアタックしてるようにも見えるので、
ロリポップの対応はさておき、他のレンタルサーバも油断できないのでは
- Re:手当たり次第？ (スコア:5, 参考になる)
  
  by Ay (33430) on 2013年08月31日 0時14分 (#2451381)
  
  さくらのレンサバは大丈夫みたいですね。
  https://twitter.com/kunihirotanaka/status/373423792451645441 [twitter.com]
  田中邦裕
  @kunihirotanaka
  ロリポップさんのWP書き換えの事象は権限設定の不備を突いたようです。FollowSymLinksを有効にして、他人のディレクトリにln -sすると、Apache経由で他人のファイル見れます。さくらのレンサバは当初より対策済です。
  http://lolipop.jp/info/news/4149/ [lolipop.jp]
  
  シェア
  
  親コメント
- Re: (スコア:0)
  
  by Anonymous Coward
  
  よく考えたらレンタルサーバに限らないな
  - Re: (スコア:0)
    
    by Anonymous Coward
    
    しめ鯖とか焼き鯖とか
    - Re:手当たり次第？ (スコア:1)
      
      by MrG (46328) on 2013年08月31日 21時44分 (#2451754)
      
      適切にしめたり煮たり焼いたりしてあればまあ問題ないはず。
      問題は生鯖。こいつだけは気を付けないと中てられる。
      
      シェア
      
      親コメント
- Re:ServerQueenだけどメール北 (スコア:1)
  
  by ncaq (46027) <ncaq@ncaq.net> on 2013年08月30日 23時32分 (#2451355) ホームページ
  
  いや変更に関しては影響はないかもしれんが
  
  シェア
  
  親コメント
- - Re:ServerQueenだけどメール北 (スコア:1)
    
    by lunatix (7873) on 2013年08月31日 3時49分 (#2451445)
    
    全世界に公開しておきながら、内部では閲覧禁止。それでこそGM0クオリティー。
    
    シェア
    
    親コメント
    - - Re:ServerQueenだけどメール北 (スコア:2)
        
        by saitoh (10803) on 2013年08月31日 10時04分 (#2451499)
        
        一般ユーザ全員に単一のグループIDを与えてるってコト？
        
        シェア
        
        親コメント
        
        Re:ServerQueenだけどメール北 (スコア:2)
        
        by saitoh (10803) on 2013年09月01日 8時33分 (#2451826)
        
        どっちも知らないので聞いてみたのですが。
        UIDもGIDもビット長は同じなので、UID=GIDにして全員に違うGIDを与えることは技術的には可能かつ安直ではあります。全員「顧客」という一つのGIDを与えるのが一番安直ですけど。
        
        シェア
        
        親コメント
        
        Re:ServerQueenだけどメール北 (スコア:2)
        
        by fcp (32783) on 2013年09月01日 11時00分 (#2451846) ホームページ日記
        
        ロリポは知らんが
        
        #2451342 [srad.jp] の人が書いている、 wp-config.php のモードを 404 に変更というのはロリポップの話じゃないよ。コメントのタイトルにある通り、同じ GMO インターネットグループが運営している ServerQueen の話でしょ。
        ロリポップでは suexec している [lolipop.jp]から、他の利用者から読まれては困る PHP ファイルのモードを 404 にする必要はなく、実際今回対策としてレンタルサーバー側で 400 に変更した。ロリポップの発表 [lolipop.jp]の「2013/08/29 22:40 追記」の「対策について」の 2 を参照。
        
        シェア
        
        親コメント
      - Re:ServerQueenだけどメール北 (スコア:2)
        
        by fcp (32783) on 2013年09月01日 10時42分 (#2451845) ホームページ日記
        
        suexecとかしてるのでない場合は、apacheが読めないと実行できないからこうしないといけないんだ。
        
        ってことは、セキュリティー上他の利用者に読まれては困るファイルをモード 404 にしても、他の利用者が CGI スクリプトを書いたら読めちゃいそうだけど、なんか僕勘違いしてる?
        
        シェア
        
        親コメント
        
        Re:ServerQueenだけどメール北 (スコア:2)
        
        by fcp (32783) on 2013年09月02日 21時26分 (#2452500) ホームページ日記
        
        全世界に公開しているとは僕は最初から思ってないけど…恥ずかしいことを言っているのはどっち?
        
        シェア
        
        親コメント
      - Re:ServerQueenだけどメール北 (スコア:1)
        
        by lunatix (7873) on 2013年09月09日 15時10分 (#2456958)
        
        いや、UNIXの基礎知識はご丁寧にご説明頂かなくてもなくても結構ですw
        ただ、今までの経緯からして、Apacheが正しく設定されてるとも思えないから、普通にサーバーハーデニングし直す場合、400にするでしょって話。
        
        シェア
        
        親コメント
- Re:いま一番ＨＯＴな頭痛 (スコア:2)
  
  by deleted user (13014) on 2013年08月31日 19時29分 (#2451722)
  
  アーキテクチャ全体が古いですね。JavaScriptが強力になった今となっては、サーバ側でHTMLを生成する必要性がなし。JavaScript でスッキリ書ける。MySQL やらでコメントを保管してるとか、素朴な 00 年代前半のウェブの作り方。クラウドベースの NoSQL で無制限のスケールがあっさり手に入る今となっては、書きにくく、性能低く、プラグイン機構を見る限り、デザインもしカスタマイズも難しそうだ。たぶん、過去のなにがしかの資産がだけがメリットなのだろう。
  この手のシステムはやめたほうがいい。新しくウェブサイトやブログ作る意味は SNS の発達で意味がなくなってるし、Facebook, インスタグラムや, YouTube を適切に使うことのほうが広告効果は大きい。
  
  シェア
  
  親コメント
  - - Re:いま一番ＨＯＴな頭痛 (スコア:2)
      
      by deleted user (13014) on 2013年09月03日 16時35分 (#2453115)
      
      >無制限？あっさり？
      Amazon dynamodb
      Google Cloud datastore
      
      シェア
      
      親コメント
- - Re:いま一番ＨＯＴな頭痛 (スコア:1)
    
    by nn1963 (35819) on 2013年09月02日 13時49分 (#2452203)
    
    K社長の心境はこうじゃないでしょうか。
    「なんで共有サーバの設定がいい加減な状態でWordPressをユーザに提供してる奴ら（社員）のせいで、
    おれが悪いみたいにいわれなきゃならねんだよー！！！」
    上にもありましたが発言を削除していないのは立派というか、削除したらしたで隠蔽とか言われるので
    消せないだけかもしれません。
    でも一連の発言をみると、冒頭の逆ギレ及び自分の認識不足に対するお詫びは一切ないんですよね。
    非公式RTもエゴサーチの結果でしょうか。
    
    シェア
    
    親コメント

より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。

経過報告 (スコア:3, 興味深い)

Re:経過報告 (スコア:1)

Re:経過報告 (スコア:1)

アカウントを窃取 (スコア:2, すばらしい洞察)

Re:アカウントを窃取 (スコア:4, おもしろおかしい)

Re: (スコア:0)

Re: (スコア:0)

つまり (スコア:1)

Re:つまり (スコア:5, おもしろおかしい)

すばらしい会社 (スコア:1)

Re:つまり (スコア:2)

Re:つまり (スコア:1)

Re: (スコア:0)

Re: (スコア:0)

Re:つまり (スコア:1)

GMOというだけで (スコア:1)

Re:GMOというだけで (スコア:5, 興味深い)

Re:GMOというだけで (スコア:1)

Re:GMOというだけで (スコア:2)

Re:GMOというだけで (スコア:1)

Re:GMOというだけで (スコア:1)

Re:GMOというだけで (スコア:1)

気をつけねば (スコア:0)

Re: (スコア:0)

ロリポップか (スコア:1, 興味深い)

Re:ロリポップか (スコア:1)

哀れ (スコア:1)

WordPressって登場当初にちょっと弱くね (スコア:0)

Re: (スコア:0)

Re:WordPressって登場当初にちょっと弱くね (スコア:1)

Re:WordPressって登場当初にちょっと弱くね (スコア:2)

Re: (スコア:0)

Re: (スコア:0)

Re:WordPressって登場当初にちょっと弱くね (スコア:2)

手当たり次第？ (スコア:0)

Re:手当たり次第？ (スコア:5, 参考になる)

Re: (スコア:0)

Re: (スコア:0)

Re:手当たり次第？ (スコア:1)

Re:ServerQueenだけどメール北 (スコア:1)

Re:ServerQueenだけどメール北 (スコア:1)

Re:ServerQueenだけどメール北 (スコア:2)

Re:ServerQueenだけどメール北 (スコア:2)

Re:ServerQueenだけどメール北 (スコア:2)

Re:ServerQueenだけどメール北 (スコア:2)

Re:ServerQueenだけどメール北 (スコア:2)

Re:ServerQueenだけどメール北 (スコア:1)

Re:いま一番ＨＯＴな頭痛 (スコア:2)

Re:いま一番ＨＯＴな頭痛 (スコア:2)

Re:いま一番ＨＯＴな頭痛 (スコア:1)