今朝一番のニュースで
「paperboy&co.「ロリポップ!レンタルサーバー」で発生している不正ログインについて」
http://www.gmo.jp/info/alert/index130829.php 

私の感覚ではとうとう起こってしまったという感じ。

  • CMSは簡単更新で便利でhtml等の専門知識も不要。
  • プラグインなんかを追加することで、色々な機能が簡単に付加できる。
  • デザインの修正もテンプレートを変えるだけで、簡単にできる。
便利なことこの上ないのですが、色々と裏があります。

まず、人気のCMSであればあるほど、セキュリティのリスクが高まります。
世界中のクラッカーさんたちが、CMSの穴を探しております。
突破されると、簡単に改ざんされます。
CMSそのもののシステムからの侵入とは限りません。
CMSで利用されるプラグインが踏み台にされる可能性もあります。

侵入するために、自分で侵入用のプラグインを配布する場合もあるかもしれません。
もちろん、配布時は他の役に立ちそうなプラグインを偽装します。

1台のサーバーで、1つのドメインで動いている限りにおいては被害にあうのは、そのドメインの所有者だけです。

不特定多数の利用を前提とした共用サーバーにおいて、1つのCMSが踏み台にされることで、単純にそのサーバー上で動く全てのドメインが被害に合う可能性は多分にあります。

クラッカーさんたちの侵入の手順は概ね、下記の手順を踏みます。
  1. 脆弱性のあるバージョンのCMSを利用しているドメインを探す、もしくは脆弱性のあるプラグインを利用しているドメインを探す。
  2. その脆弱性を利用して、悪さがデキるかどうかのチェック。例えば、phpやcgiを設置しちゃいます。いきなり危ないファイルは設置しません。
  3. 設置したphpなどを利用して、内部的な脆弱性のスキャン。
  4. 裏口が開けられるかのトライ。
  5. root権限奪取のためのプログラム類の設置をトライ。
  6. 3〜5の工程でどの程度の悪さができるかを測り、それでもって、イタズラのレベルを決める。
ファイルを改ざんするレベルに留まるのか、rootkitまで設置して乗っ取ってしまうのか。spamの踏み台にするのか、ロボット的に使うのか。。。。

今回のロリポップのようなレベルの改ざんで発覚するのは単なる愉快犯ですよね。

本当に怖いのは、侵入をわからないように改ざんしちゃうことだと思います。

弊社はセキュリティ上の理由で自分の管理下にない世界でCMSの設置を許してません。
「脆弱性が見つかりましたので、CMSをアップデートしますから、30万円いただきます。」といって、納得していただけるクライアントさんであれば、設置しますよ。

ブログをやりたいなら、このlivedoorのようなブログサービスを使ってくださいと言ってます。