パスワードを忘れた? アカウント作成
9901869 story
インターネット

「ロリポップ!」で大規模なWordPressへの攻撃発覚、注意喚起した人がなぜかGMO社長に絡まれる 105

ストーリー by hylom
問題を確認したらどうすべきかはよく議論になりますが 部門より
あるAnonymous Coward 曰く、

先日、レンタルサーバーサービス「ロリポップ!」上でWordPressを利用しているサイトが多数改ざんされるという問題が発生した。ロリポップ!からは公式なアナウンスも出ているのだが、これについてロリポップが問題が把握する以前に攻撃の事実を確認して注意喚起をした人が、Twitter上でGMOの熊谷社長から「風説の流布になりますよ」と言われていたことが話題になっている。また、同氏は「弊社サービスへのハッキングの事実はありません」と述べたものも、その後の調査で8000件以上の被害が発生していることが確認された。

社内で確認されていないセキュリティ案件が外部で話題になっているというのは確かに焦るだろうが、とはいえ内部での確認が取れていない状態でこのような対応をするのはいささか問題があるように見える。また、外部で情報が公開されたためにその後すぐに対応が取られたという風にも見えてしまう。

なお、ロリポップ側は「WordPressのプラグインやテーマの脆弱性を利用し、不正なファイルがアップロードされました」と発表しているが、問題はこれだけではなく、ロリポップで提供されているWordPressの設定ファイル(.htaccessおよびwp-config.php)の初期設定でのパーミッションが不適切で同一サーバー内の他のユーザーからその内容が見えてしまうような状態であったことや、一部のMySQLサーバーに対しインターネットから無制限での接続が可能だった点など、ロリポップ側の不適切な設定によって被害が大きくなっているとの指摘もある。

また、Apache HTTP Serverにおけるsymlink関連のセキュリティ問題が使われてアカウントを窃取されたのではないか、という声もあるようだ。

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • 経過報告 (スコア:3, 興味深い)

    by Anonymous Coward on 2013年08月30日 23時18分 (#2451341)

    週末しか自分のサイトを確認していなかったのですが、今、管理者用アカウントでログインしたところ見事にクラッキングされていました。
    ログイン後の最初のページの左上に「Hacked by Krad Xin」と出ています。
    まだ、ぱらっと見ただけですが、と文字コードがUTF-7に指定されていました。
    ブラウザで文字コードを強制的に変更してやれば見えるようです。

    ネットでwb-config.phpのアクセス権が不適切な設定がされていると見られるのでは、というのがありましたが、
    FTPで確認しましたが、現在のwb-config.phpのアクセス権は400(オーナー以外呼び出し不可)になっています。
    変えた覚えがないので、Lolipop側で変更されたんでしょうか?

    • by Anonymous Coward on 2013年08月31日 0時20分 (#2451384)

      Lolipopが変更作業をやっているようです
      Lolipopのサイトにも出てるし、別コメにもあるように、メールで「変更する(した)」の連絡が来てるはず

      親コメント
  • アカウントを窃取 (スコア:2, すばらしい洞察)

    by Anonymous Coward on 2013年08月30日 20時17分 (#2451256)

     あんな発言する人が社長なわけないじゃありませんか。Twitterアカウントも乗っ取られていたんですよ。
     もしくは社長さんがクラックされてたのかもしれませんね。

    • Re:アカウントを窃取 (スコア:4, おもしろおかしい)

      by Anonymous Coward on 2013年08月30日 20時33分 (#2451261)

      クラックされてるならまともだった可能性があるからいいけど、最初からクラッシュしていた可能性も否定できない。

      親コメント
    • by Anonymous Coward

      社長はクラックをキメていたのかもしれない

    • by Anonymous Coward

      社長さんに脆弱性があったのは間違いなさそうだけど。

  • by Anonymous Coward on 2013年08月30日 18時43分 (#2451194)

    社長が「弊社サービスへのハッキングの事実はありません」と、風説の流布を行っていたわけですね。
    いやぁ、悪質だなぁw

    • Re:つまり (スコア:5, おもしろおかしい)

      by Anonymous Coward on 2013年08月30日 19時02分 (#2451206)

      社長「私および弊社は間抜けです」

      と注意喚起してたんだよ。なんたる捨て身の警告か。

      親コメント
      • by Anonymous Coward on 2013年08月30日 19時05分 (#2451207)

        ユーザーの為に自らのダメっぷりを公言するなんて、なかなか真似できる事じゃありません。
        彼らはまったくもってすばらしいビジネスパーソンです。

        親コメント
    • by kawasaki_z750s (32690) on 2013年08月30日 19時52分 (#2451245)
      「うちの子に限って!」みたいな気持ちだったのかな…
      親コメント
    • by Anonymous Coward on 2013年08月30日 19時01分 (#2451204)

      事実ではありませんと言った上で「事実でなかったらどう責任を取るつもりなんですか?」なんて恫喝までしてるんだから救いようがないw

      親コメント
      • by Anonymous Coward

        完全に恐喝罪だよね、ロリポップの社長は。

    • by Anonymous Coward

      しかも注意喚起した人は、ちゃんと事前にGMOのサポートへ連絡していたそうだからね。

      すぐに社長に連絡できなかったサポート体制がゴミなのか、
      サポート担当に確認を取らなかった社長がゴミなのか……。

      両方かな。

      • by Anonymous Coward on 2013年08月30日 21時28分 (#2451293)

        いや、会社の規模にもよるが、事実確認よりも前にサポート側から社長に連絡するという体制は大変そうだ。連絡を受ける社長が。
        ガセ情報に踊らされることは結構あるので。いちいち社長にまで報告がいくのもどうかと。

        社長がサポート担当に確認を取らなかったのか、
        確認は取ったけどサポート担当が報告しなかったのか、
        確認を取って連絡があったことを知っていたけど「事実はない」としたのか
        そこはわからないけど、そっちはちゃんと機能してるべきだとは思う。

        親コメント
  • by Anonymous Coward on 2013年08月30日 19時00分 (#2451203)

    納得できてしまいますね

    このザル加減といい、恫喝といい・・・おや誰かきたようだ、うわ、何をs

    • by miyuri (33181) on 2013年08月30日 19時20分 (#2451220) 日記

      アホな対応で株価にまで影響したら、この熊谷正寿(GMOインターネットの代表取締役会長兼社長)は、どう責任を取るのだろうね。

      https://twitter.com/m_kumagai/status/372737835360858112 [twitter.com]
      熊谷正寿@m_kumagai 2013年8月28日 - 8:09

      あなたの指摘で事実確認中ですが、確認が出来ていない情報をこんなに拡散して本当に困ったもんだ。事実でなかったらどう責任を取るつもりなんですか?株価にまで言及してますが責任とれますか?現段階でWPの脆弱性は確認出来てますが弊社へのハッキングなどの事実は確認できません@Isseki3

      親コメント
      • by Anonymous Coward on 2013年08月30日 23時28分 (#2451351)

        そんな最中、セルリアンタワー11FのGMO Yoursでは納涼会と称して
        浴衣美女祭りをしていたから笑えるね^^

        しかも、納涼会はSNSに書き込むな!という徹底ぶり

        ペパボさんは対応お疲れ様です。運が悪かっただけだ

        親コメント
    • 関連情報に、つい先日のmamononewsの件 [srad.jp]が入ってないけど、
      正直GMOには関わりたくないですね

      親コメント
    • by miishika (12648) on 2013年08月31日 23時30分 (#2451782) 日記
      こんなに恫喝されるなら、運用部門も萎縮してしまって、問題発生のおそれだけでは誰にも報告しなく
      なるかもしれない。明確な被害が確認されるまで(確認されても)隠し通すのでは。
      親コメント
    • by Anonymous Coward

       損害賠償請求がスラドに……

       カナダ・ケベックのホテルでトコジラミに刺されたことをレビューに書いた男性にホテルが損害賠償を請求
       http://it.srad.jp/story/13/08/25/0124252/ [srad.jp]

    • by Anonymous Coward
      ここ数年だけでGMOクリック証券のトラブルに3回も巻き込まれて10万くらいの実損が発生してる俺としてもすげー納得するわ。
      これも風説の流布で捕まるかな、でも事実だからな。

      とはいえ取引一回缶コーヒー以下の安さという魅力は捨てがたくて、困ってしまう。

      なんか楽天に近いものあるな
      企業の体質は信用できず、トップの人柄は最低だが、コスパだけは圧倒的に良くて、文句を言いつつ、結局は我慢して使ってしまう。
  • by PEEK (27419) on 2013年08月30日 19時57分 (#2451248) 日記

    昔買ってたよ。
    「魔狩人」好きだったな~

    --
    らじゃったのだ
    • by renja (12958) on 2013年08月30日 20時05分 (#2451253) 日記

      私が初めて読んだのはタイトルがすでに「Ⅱ」付きでした。

      #とりあえず古本屋で見つけた一巻と、コミケ見物にいったときに同人誌買ってきました。
      #あの人の漫画、単行本にならないの多すぎて悲しい。

      --

      ψアレゲな事を真面目にやることこそアレゲだと思う。
      親コメント
  • by Anonymous Coward on 2013年08月31日 7時57分 (#2451465)

    この熊谷正寿ってバカ社長、逆ギレの件だけでなく、
    自分を賞賛するツイートばかり非公式RTで広めてるのが何とも……小物だな

  • by Anonymous Coward on 2013年08月30日 18時43分 (#2451193)

    って話がちょろっと出たけど急に「使いやすい」みたいな話ばかりになり
    爆発的に広がったよね。

    まぁどうでもいい話だけどね

  • by Anonymous Coward on 2013年08月30日 19時12分 (#2451213)

    詳細は知りませんが、手当たり次第にアタックしてるようにも見えるので、
    ロリポップの対応はさておき、他のレンタルサーバも油断できないのでは

typodupeerror

ハッカーとクラッカーの違い。大してないと思います -- あるアレゲ

読み込み中...