エログを運営している皆様においては、WordPressでサイトを構築している方も多いと思います。
そんな中、気になる情報が流れてきました。
セキュリティに関して有名どころのLacさんからも注意喚起が出ています。
かなり詳細にそのウィルスの挙動について解説されていたので、興味があるなら読んでみると面白いかもしれません。
また、後述しますが、この攻撃に対する対策も書かれています。
「Efimer」(エフィマー?)と命名されたウィルスによる改ざんの可能性があるとのこと。
「トロイの木馬」というのは、ギリシャ神話のトロイア戦争で、ギリシャ軍が巨大な木馬を城内に運び込み、内部の兵士が夜に城門を開けて攻撃した故事に由来しており、一見無害そうなソフトとして忍び込み、何かを契機に悪さをするタイプのウィルスのことを言います。
被害にあっているサイトを調査する
「0x1c8c5b6a」の文字列を含むページをGoogleで検索するとその被害が確認できます。
ざっと見た感じ、個人経営のクリニックや社団法人のようなサイトが散見されます。
おそらくはとりあえずサイトは構築したものの、弱いパスワードで運用していて、攻撃が成功してしまったのでしょう。
こういったサイトは継続したメンテナンスに予算が掛けられず、古いバージョンで運用が続けられたり、ITに疎い人が運用するために簡単なパスワードに設定されていることがよくあります。
この文字列にどんな意味があるのか、本当の目的は何なのかは、攻撃者のみぞ知るというところですが、サイトに不正ログインされていることだけは間違いないので、とにかく早急な対策を取るべきです。
自分のサイトが被害にあっているかを確認する
自分のサイトにログインしたら、記事を確認してみてください。
投稿から「0x1c8c5b6a」の文字列を記事検索してみたり、この文字列ではないケースもあるようなので、書いた覚えのない記事があれば警戒してください。
まずはログインパスワードを変更し、当該記事を削除しましょう。
不正にログインされてしまった以上、他にもウィルスやバックドアを仕込まれた可能性があります。
最悪の場合は記事を全調査したり、サーバ内のphpファイルも調査が必要なケースもあります。
ご自身で解決しきれない場合は、専門家へ相談してください。
アテがないようであれば、同業ブログに限り、多少の相談に乗ることくらいはしますので、お問い合わせよりご連絡いただければと思います。
対策について
Lacの記事によると、今回は通りそうなユーザー名とパスワードでWordPressの投稿APIを悪用しているようです。
攻撃としてはとても単純ですが、弱いパスワードや推測しやすいパスワードを設定していると突破されてしまう可能性が高くなります。
覚えやすいからと言って単純なパスワードにしておくのは危険です。
ブラウザにパスワードを記憶させることもできるので、ある程度長く、複雑なパスワードにしておきましょう。
攻撃の対応策
記事の後半に「本事象への対策」として、具体的な対応策が書かれています。
差し支え無いようであれば、すぐに対応したほうがよいでしょう。
まとめ
WordPressサイトは非常に高機能で各社レンタルサーバーで安価に扱いがあるようにとても手軽です。
しかし、アカウント管理やプラグイン・本体のバージョンアップを怠ると、不正アクセスやコンテンツの改ざんなどの被害に合いかねません。
アカウントについてはパスワードを複雑なものにしてください。
WordPressとしては、不要な機能は停止する、過度にプラグインを導入しすぎない、不必要なプラグインは削除する、対策を取ることが出来ます。
本体をシンプルに保つことで、アップデートもしやすいし、原因となるプラグインが少ないほど被害に合いにくくなります。
アップデートで使えなくなるプラグインや、プラグイン自体がアップデートしなくなるということはよくあります。
そういったときに、アップデートを諦めるのではなく、プラグインによる機能を諦めるという決断ができるように、もしくはそういった状況にならないように、サイトはこまめにメンテナンスをしていきましょう。
