ここから本文です

初心者でも気軽にWordPressサイト作成! ……をして大丈夫なの?

@IT 7月15日(金)6時10分配信

 2016年6月は、JTBのグループ会社が攻撃を受け、最終的に約679万人分の個人情報が流出した可能性があるとして大きな話題になりました。他に、「ViVi」の通販サイトなどからの情報流出も発生しています。

 6月初旬には、佐賀県の17歳少年が衛星放送を無料で視聴できるプログラムを公開したことで逮捕されましたが、その後同少年が佐賀県の教育システムに侵入し、個人情報や成績表を盗み出していたことも明らかになっています。少年の手口とともに、佐賀県のシステム運用の実態が議論の的になりました。

 また、初心者がセキュリティを考慮せずにAWS上にWordPressを公開することについても、活発に議論が交わされました。

●JTBが標的型攻撃を受け、679万人の個人情報が流出した可能性

 2016年6月14日には、大手旅行会社のJTBから793万件(後に重複分を除く679万件に訂正)もの個人情報が流出した可能性があるとする発表がありました。発表では「流出の事実は確認されていないが、流出した可能性がある」という言い方がされていましたが、“限りなく黒に近いが、証拠が残っていない”というのが実態のようです。

 この事件は、最近鳴りを潜めていた標的型攻撃によるものでした。具体的には、2016年3月15日に届いた「航空券控え 添付のご連絡」という標題の顧客を装ったメールに添付された「eチケット控え」というファイルをオペレーターが開いたことで、コンピュータが「PlugX」というマルウェアに感染してしまったとのことです。

 この発表に対しては、「どうして3月の事件を公表するのに今までかかったのか」という批判があった一方で、「大企業でこの期間で公表するのはがんばっている方だ」と評価する声もありました。

 JTBは標的型攻撃に対する訓練も行っていたようですが、本物の業務メールと見まがうような巧妙な標的型攻撃メールに対しては、訓練の成果は上がらなかったようです。

 また、「高度な標的型攻撃に引っ掛かるのは仕方がない。引っ掛かった後こそが大事だ」とする意見や、「メールの開封率にフォーカスした標的型攻撃訓練にはあまり意味がないので、流行しないでほしい」という意見、あるいは「この件を受けて標的型攻撃対策に関わる営業の人たちが動き出すに違いない」といったツイートがありました。

 なお、筆者も「個人情報流出の可能性がある」旨のメールをJTBから受け取りましたが、残念なことにこのメールの送信元メールアドレスは既に公にされており、フィッシング詐欺などに悪用される危険性を指摘する声が出ていました。そのため、本物のメールを「フィッシングではないか」と疑うツイートもありました。

 さらに6月には、パイプドビッツのECサイトプラットフォームが攻撃され、雑誌「ViVi」の公式通販サイトからも1万人以上の個人情報が流出しています。この件については、特に「WebDAV(Web-based Distributed Authoring and Versioning)サーバの設定不備を突かれてバックドアを埋め込まれる」という手法や、「HTTPの『PUT』メソッドを許可しているのは脆弱(ぜいじゃく)性なのか」といった点が議論の種となっていました。

●17歳少年が佐賀県システムに不正アクセスして成績表を盗み出す

 2016年6月6日、有料放送を無料で視聴できるプログラムを公開した17歳の高校生が逮捕されます。当初は少しだけ話題になったこの事件ですが、6月27日に新たな展開を迎えます。

 この少年が無料視聴プログラムを公開した他にも、佐賀県の教育システムネットワークに不正アクセスを行い、成績表の情報や21万人を超える個人情報などを盗み取っていたことが明らかになったのです。

 この17歳少年に対しては、「天才ハッカーだ」「改心してホワイトハッカーになってほしい」など、少年の行為を驚きとともに称賛するようなツイートが多数行われた一方で、「技術的には大したことをしていない」という指摘や、少年の行為を称賛するような報道をいさめるツイートも見られました。また、「そもそもこうした情報をアクセス可能な場所に配置するのが問題で、紙で管理するのが一番なのではないか」とする意見も見られました。

 さらに、少年がPCの情報を偽装するなどして無線LANネットワークに接続し、そこを介して侵入したという報道に対しては、「パスワードが甘かったのか」「WEPなどの脆弱な認証方式を採用していたのか」「MACアドレスを偽装するだけで無線LANアクセスポイントに接続できたのではないか」など、その手段を考察するツイートが見られました。

 また、「最先端」を標榜していた同県の教育システムが不正アクセスを許してしまったことを揶揄(やゆ)するようなツイートも見られました。少なくともセキュリティに関しては、最先端と呼べるものではなかったようです。

 事件が発覚してから数日がたつと、このシステムが過去にも同じ手口で侵入されていたことや、攻撃が発覚してからも対策が行われず問題が放置されていたこと、固定の管理者パスワードがユーザーに見られるようになっていたことなど、佐賀県のシステム管理体制の問題点が次々と明らかになりました。

 「インターネットを使っている以上、万全な態勢というものはない」という開き直りともとれる同県のコメントも火種となり、簡単に侵入を許すようなシステム環境や、それを放置していた管理体制に対する批判的なツイートが多く見られました。

●セキュリティを分かってない人がクラウドにWordPressを使ったサイトを公開するのは止めたほうがいい!?

 2016年6月19日には、一般のブロガー向けにAmazon Web Service(AWS)上でのWordPressサイトの構築方法を解説したブログ記事に対して、「自力でトラブルシューティングできない人は自前でWordPressを立ててはいけない」と徳丸浩氏(@ockeghem)がツイートしたことが話題となります。

 このツイートを受けて、他の人からも「この記事にはセキュリティについての配慮が何もない」「この記事に従ってサイトを構築すると脆弱性を突かれて踏み台にされる危険性がある」と多くの指摘がなされました。

 WordPressは、(特にプラグインの)脆弱性を狙われてサイトに侵入され、踏み台にされることが多く、またAWSは従量課金制のため、何も考えずに放置しておくと自分が知らないうちに、攻撃者が使用した通信料金やCPUの使用料金を請求されてしまう危険性があります。

 また、サイトが人気になった場合などにも、もちろん通信料金が加算されます。そのあたりの事情を考えずにAWS上でのWordPressサイト公開を勧める無責任さを、「無免許の人に高速道路を運転させるようなものだ」などと非難するツイートも数多くあり、AWSでのサイト公開のリスクを考慮する必要性を感じさせられました。

 一方で、「否定的なことばかりを書くと、初心者を萎縮させるのではないか」「危険があるとしても、対応方法を書いておけばよいのではないか」とする意見もありました。

 この他にも、2016年6月のセキュリティクラスタは以下のような話題で盛り上がっていました。7月はどのようなことが起きるのでしょうね。

・NIST(米国国立標準技術研究所)が「パスワードの定期変更させるべきでない」と発表
・「パズドラ」のチートツールを配布していた大学生が逮捕される
・Windows10への強制アップグレードは「不正指令電磁的記録に関する罪」に当たる?
・Twitterのアカウント情報が漏えい!?
・LINEが常時のバグバウンティプログラムを開始
・piyologが名誉毀損(きそん)で訴えられる!?
・PCをリモート操作する「TeamViewer」の乗っ取りで被害多数

●著者プロフィール 山本洋介山/bogus.jp。猫と一緒に自宅の警備をする傍ら、「twitterセキュリティネタまとめ」というブログを日々更新しているtwitterウォッチャー。セキュリティやネットワークに関する原稿も書いています。

最終更新:7月15日(金)6時10分

@IT

TEDカンファレンスのプレゼンテーション動画

暗闇で光るサメと驚くほど美しい海洋生物たち
波のほんの数メートル下で、海洋生物学者であり、ナショナルジオグラフィックのエクスプローラーかつ写真家のデビッド・グルーバーは、素晴らしいものを発見しました。海の薄暗い青い光の中で様々な色の蛍光を発する驚くべき新しい海洋生物たちです。彼と一緒に生体蛍光のサメ、タツノオトシゴ、ウミガメ、その他の海洋生物を探し求める旅に出て、この光る生物たちがどのように私たちの脳への新たな理解を明らかにしたのかを探りましょう。[new]