wordpress利用者要注意。気づきにくい改ざんの実例と対策

このところ、wordpressサイトの改ざん、不正コードの埋め込みの対応に関する依頼をよく受けています。

症状としてはスパムが多くなった、遅く感じる、サーバ会社から報告があったなどがきっかけですが、共通する症状があり、意外と影響は深刻です。

お心当たりある方もない方も、管理されているサイトをチェックしてみていはいかがでしょうか。

症状は?

ご相談のサイトを調べてみると共通する特徴として、

  • アクセスすると表示スピードが異様に遅くなる
  • Chromeでアクセスすると、覚えのないダウンロードリンクが表示される
  • スパム審査サイトなどからでは判明しない
  • テーマなどサイト内のPHPファイルにコードが埋め込まれている
  • サーバはさくらやロリポップなど一般的な共用サーバ
  • 実際に埋め込まれたのは数カ月以上前

と言ったものがあります。サーバ会社から注意を受けると、サーバ内の他のサイトへの影響を考えて閉鎖される恐れもあるため心配ですね。

今回は、サイトにアクセスすると「font hasn’t found(フォントが見つかりません)」のメッセージが表示され、「 Chrome_Font.exe」などの不正ファイルをダウンロードさせるという手口です。

特にChromブラウザからアクセスがあった場合、影響を受けるとのことです。

PCの設定によっては自動的にダウンロードされる場合もあるようです。

Remove the BrowserMe.exe or Chrome_Font.exe Fleercivet Ad Clicker Trojan

EITest Nabbing Chrome Users with a “Chrome Font” Social Engineering Scheme

影響としては、

  • サイトの表示が異様に遅くなる時がある
  • 迷惑広告や不要なポップアップウィンドウが表示される
  • PCの速度が遅くなり、フリーズが発生したりする
  • 他のウィルスからの被害を受けやすくなる
  • IDやパスワードを盗まれる恐れがある

実際、とあるサイトではwordpressのユーザーが新規に作成され、勝手に投稿がされるという影響にまで及んでいました。
時期的に見て関連性があるかと思われます。

原因は?

FTPやwordpressのIDとパスワードがどこかからか漏れたことがまず考えられます。

または、wordpress自体やプラグインのセキュリティホールからの侵入です。メンテやアップデートが遅れがちの場合、気をつけなければいけないですね。

発見方法

WordPressはPHPファイルで構成されていますが、wordpressと関連のあるPHPファイルに下記のような不正なコードが埋め込まれていました。

一見何かの命令文やスクリプトに見えますが、こう言ったものがないかを確認して見てください。

上記のファイルは最上階層にあるwp-config.phpファイルですが、こう言った重要な設定の記載されているファイルにも書き込みがなされていました。

 

今回はPHPへ書き込みをするタイプのようで、データベースへはこのコードは埋め込まれていなかったがmySQLにまで影響を及ぼすタイプのものであれば、別の対応が必要です。

解決方法

  1. まずはサイト全体のダウンロードとバックアップ。
  2. 上記の不正コードを使い全体を検索し、コードの埋め込まれたファイルを検索。
  3. 「置き換え」を使って、不正コードを全て削除。
  4. 修正したファイルのアップロード。

もしバックアップしているデータがあれば、これをサーバにアップし上書きするだけでもいいかもしれません。

またもし確実にしたい場合は、wordpress.comから最新のwordpressファイルをダウンロードし、上書きすることができます。
その際、設定ファイルやプラグイン、テーマファイル、uploadフォルダ内は上書きしないように気をつけてください。

防御方法

#1.まずはPCのセキュリティを強固なものに。

FTP、mySQL、そしてwordpressのIDやパスワードといった設定情報保管方法も見直しましょう。

なんだかんだ言っても、パスワードを定期的に変更するフローを持っておくのはいいのかもしれません。

#2. サーバのセキュリティ設定を見直しましょう。

サーバから可能であれば、WAF(ファイアーウォール)の導入や、IPアドレス、ログインできるPCへの制限を行ないましょう。もちろんこれには運用上のポリシーとも関係するので、クライアントがいる場合は運用方法の見直しも含めることも忘れずに。

#3.FTPディレクトリ内のファイルの権限をしっかりと確認しよう。

設定情報の含まれている.htaccessやwp-config.phpは特に見直しましょう。

ロリポップの対策ページには、下記の情報が乗せられていました:

サイト改善への対策をお願いします

ディレクトリ、ファイルのパーミッションを以下の値での設定を推奨しております。

HTML・画像ファイル 604 rw—-r–
CGIの実行ファイル 700 rwx——
CGIのデータファイル 600 rw——-
.htaccessファイル 604 rw—-r–
ディレクトリ 705 rwx—r-x

パーミッションの設定を「777 (rwxrwxrwx)」や「666 (rw-rw-rw-)」などに設定されている場合は、「誰でも書き込める」設定となっているため、改ざんが行われる可能性がございます。ご確認の上、上記の値に変更してください。

-「.htaccess」ファイルが書き換えられる事例が多発いたしております。パーミッションが「604 (rw—-r–)」であるかご確認ください。
-「wp-config.php」のパーミッションは「400 (r——–)」に変更をお願いいたします。

#4. WordPressのセキュリティプラグインを入れて設定しよう。

主にログイン対策となりますが、セキュリティプラグインの導入も水際で防ぐことになります。

繰り返しとなりますが、これも運用方法とセットで。壁を一つ作ることは、日々の運用の手間などを一つ増やすことなので、実効性や使い方を考えましょう。

可能なクライアントのサイトにて、私は以下のプラグインを使っています:

SiteGuard WP Plugin – 管理画面への不正ログインを防ぐWordPressプラグイン

#5. wordpressのプラグインは、常に見直そう。

「便利そう」ということで使っていても、日々発見される脆弱性や危機に応じて更新や開発を行っていないプラグインも多々あります。

そういったプラグインから侵入されるケースもあるため、開発が1、2年行われていない場合は代替プラグインの導入をしましょう。


wordpressは、というよりウェブサイトもうほぼ保守運営ありきなのは事実です。

放置していて、後々面倒のタネになってしまうことも少なくありません。

保守というとどうしても後手になってしまいがちですが、せっかくなので全体をクリーンにする機会にしてみては。

サポートもしていますのでお気軽にご相談ください。

 

インターリンクの固定IPサービス「マイIP」が通信方式変更のためにmacOSアップデートを待つようアナウンス

固定IP

制作環境にて、インターリンク社の固定IPサービスを使用している。

本日届いたメールにて、現行のVPN接続方式をAppleが次期OSから廃止するため、同サービス改善までmacOSアップデートを待つようにとのアナウンスがあった。

<(再) Apple社のPPTP廃止への対策について >

Apple社は、2016年7月8日、今秋リリースする新OS「iOS 10」「macOS Sierra」においてVPNプロトコル「PPTP」の廃止を発表しました。

>Apple社 新OS仕様の事前告知
https://support.apple.com/ja-jp/HT206844

当社でもPPTPに代わるVPN接続方式としてL2TP対応の開発を現在すすめております。
すでにβ版としてリリースをしておりますが、通信速度等の改善のため今しばらくのご猶予を頂戴したいと思います。

つきましては、誠に恐縮ですがiOS、macOSにてマイIPサービスを利用される方は、新OSへのアップデートはこちらからご案内があるまでお控えいただきますようお願いいたします。

なお、マイIPサービスには「L2TP」に対応した「VPNゲートウェイ(ベータ版)」を無料にて提供しております。
こちらは共有のIPアドレスとなりますが、ご利用希望の方は以下マニュアルをご参照ください。

現在の「マイIP」で採用されているPPTPとは、IPSecと並んで古くから広く利用されているVPN通信方式。

カスペルスキのブログには、こんな説明があった:

一番のデメリットはその古さです。セキュリティの現状を考えると、PPTPの保護レベルはかなり低く、90年代半ばであればまったく問題なかった暗号化方式も、今や十分とは言えません。加えて、アーキテクチャ上の欠陥や(英語記事)、最も普及しているMicrosoft環境での実装に存在する脆弱性の多さが、問題を大きくしています。

しかも、PPTPは既定で暗号化を行っておらず、現在入手可能なハードウェアのパスワードを解読するのには24時間もかからないことでしょう(英語記事)。ただし、超安全な接続を必要としないとき、または他のVPN接続を利用できないときには、何の保護もかけないよりは弱い暗号化方式のPPTPを使ったほうがよいでしょう。

PPTPしか使用できないレガシーな機器ゆえ、なかなかアップデートできないハードウェアも多いかと予想されるが、今回Appleが思い切ってこれを廃止する方向に舵を取った。

https://support.apple.com/ja-jp/HT206844

しかしこの「マイIPサービス」、「新OSへのアップデートはこちらからご案内があるまでお控えいただきますようお願いいたします」とのこと。

次期OSであるmacOSの登場は2017年10月と言われ、既に第3段パブリックデータも8月に出ている。

そして過去のメールを探ってみれば、8月にはL2TP対応サーバー ベータ版テスター募集がされていた。

このメッセージから察するにOS登場の10月を過ぎることも想定していると思われるので、開発や検証はそれなりに大きなものなのかもしれない。

これだけモバイル環境が広がった今だからこそ、ネットワークからの漏えいは信じがたい話ではない。そして、ことに固定IPサービスなどを使用するようなユーザーは理由あって、それも主にセキュリティの理由があって利用しているんだろうからこそ、こういったアップデートには是非キャッチアップしていきたいところだ。

【要管理】国内でWordPressが「イスラム国」攻撃の対象に

わたしも案件の半分以上が使用しているWordpress。イスラム国がWordpressのプラグイン「Fancybox for WordPress」の不具合を狙ってウェブサイト改ざんをしたという事例が発生していました。

「イスラム国」マーク、管理ソフトの不具合狙う(読売新聞2015年3月11日)

複数のインターネットサイトが改ざんされ、イスラム過激派組織「イスラム国」のものとみられるマークが表示される被害が相次いだ問題で、警察庁は11日、サイト管理者が利用するソフト「Fancybox for WordPress」の不具合が狙われ、ホームページ(HP)が書き換えられた可能性が高いと発表した。

ソフトを最新バージョンに更新すれば、被害には遭わないという。

警察庁によると、東京都内のフットサルクラブや兵庫県の西宮観光協会など八つのHPが被害に遭った。

プラグイン「Fancybox for WordPress」は投稿内のイメージやテキストを、エフェクトを使って表示させられるプラグイン。

Fancybox for WordPress

PCからネットを使う方であれば、ほとんどの方が見たことがあるようなエフェクト。導入が簡単なのでよく活用していました。

このブログ執筆時点でバージョン3.0.6となっていますが、3.0.3にてFixed Security issueとなっているので、それ以前のバージョンを使っている方はぜひアップデートしましょう。

プラグインのバグから、サイト乗っ取り

WordPressはオープンソースであり簡単であり、世界中で広く使われているだけに、攻撃の対象となり得ることはわかります。

そしてこういったメジャーな開発者のプラグインであっても(むしろだからこそ)、バグからサイトの乗っ取りにまで発展しうるということに、管理の大切さを感じます。

このプラグインだけだはないと思いますので、最低でもアップデート管理は徹底しましょう。

Mac向けマルウェア「iWorm」の被害に遭っているかを1分で調べる方法

先週からMac向けマルウェア「iWorm」が世界中で拡散している、という報道がされています。感染しているかどうかは簡単に調べることができるため、Macを使っている方はぜひ試してみるようオススメいたします。

iWormとは

ざっくりいうと、悪意のあるアプリやファイル、スクリプトがOSに入ってきやすいようにしてしまう、という被害です。
下記のサイトに分かりやすく説明されていました:

エンジニアが知っておくべき”iWorm”

ポートの開放
iWormは「マルウェア」であり「ウィルス」とは呼ばれていないことからもわかるように、このiWorm自体には他PCへの感染力はありません。
iWormに感染するとバックグラウンドでポートを開放し始めます。これにより悪意のあるアプリやファイルをインストールする「道筋」をつけるわけです。
掲示板からC&Cサーバーリストを取得
次にiWormは掲示板「Reddit.com」にアクセスし「現在日時(UTC)のシリアル値(※1)をMD5でハッシュ化したものの頭から8バイト分」を検索条件に検索をかけます。
そうするとReddit.comの「minecraftサーバーリスト」というカテゴリ内にあるスレッドのコメント欄からC&C(コマンド&コントロール)サーバーのリストをダウンロードします。
感染しているmacをC&Cサーバーに接続
最後にiWormは自分がいるmacを取得したC&Cサーバーに接続しにいきます。そしていかなるLUAスクリプトも受け入れるようにOSXのセキュリティを弱めて待機します。
以上がiWormの主な動きになります。コントロールサーバーがどこなのかを隠すために掲示板のコメント欄を利用するあたり、日本の遠隔操作ウィルス「iesys.exe」を思い出しますね。

感染台数は17,000台以上とのことですが、直近四半期(2014年7月)で480万台販売といったような実績なので、対象となるMacは相対的に見れば大きな台数ではありません。またWindowsの感染比率と比べれば、非常に小さな数字。

とはいえ、感染しているか簡単に調べられるので、下記を参考にしてください。

iWormに感染しているか調べる方法

iWorm

①「Finder」メニューバーから「移動」→「フォルダへ移動」を選択

②表示された「フォルダの場所を入力」という画面に以下のパスを入力しクリック。2つチェックするフォルダがあるので、それぞれ別々に検索します。

②-1「/Library/Application Support/javaW」
②-2「/Library/LaunchDaemons/com.JavaW.plist」

「フォルダが見つかりません」とのメッセージが表示されれば、感染はしていません。お疲れ様でした!

もし感染していた場合は?

もし感染していた場合は、このフォルダにiWorm関連のファイルが保存されてしまっています。この保存されているファイルを削除してください。これで完了です。


ちなみにわたしのMacは感染していませんでした。お付き合いのある会社の皆さん、ご安心ください(笑。

iOS、OS X、どんどんとApple帝国のシェアが広がっているので、今後もこういったニュースや対策は続くかもしれません。

 

facebookのアカウント攻撃を受けていた件

主にプライベートで利用していますが、ビジネスの連絡などでも利用しているFacebook。つい先日アカウントが他人からのログイン試行を受けているとの警告を受けました。

以下がその時のスクリーンショット。

img140728_01

「あなたのFacebookアカウントに正しいパスワードを使用してログインが試行されました。普段ログインする場所とは異なる場所からのログイン試行であるため、アカウントへのアクセスがブロックされました。このログインを実行したのがユーザー本人ではない場合は、アカウントのセキュリティ確保をサポートさせていただきます。」

怖いのが「正しいパスワードを使用してログイン」されたというところ。
どこからか漏れている、ばれているということです。

そしてアクセスは特に身寄りのない愛知県の一地域。
不正アクセス事件も先日のことだけに、これもそうとは限りません。
けれどfacebookは世界一のSNSであるだけに、攻撃を受ける可能性もそれに匹敵、そして攻撃への対策もこれでも世界一であるはずです。
他のSNSアカウントもこれならやられている可能性もあるので、すべてパスワードなどを見直すことにもしました。

アカウント停止を解除するまでの流れ

まず表示されている不振なログイン試行アラート画面から、「覚えがない」をクリックしアカウント回復ウィザードをはじめます。

すると次に携帯電話を使ったセキュリティコードによる本人確認の流れとなりました。

 

img140728_02

これは昨今のメジャーなセキュリティ対策です。これで完璧という訳ではないですが、はじめに登録している携帯電話番号への確認コードの送信。
しかしここで携帯番号表示されてしまうのはいいんでしょうか。
乗っ取り犯人ならすでにプロフィールなどから得ているかもしれない情報だから、細かいことこだわるなというアメリカ的なノリなのでしょうか。

img140728_03

その後、「信頼できる連絡先の追加」画面が表示されます。

これはいったいどんな役割があるんでしょうか。
ヘルプには以下のような説明がありました:

信頼できる連絡先を設定すると、次にアカウントにアクセスできなくなったときに、信頼できる連絡先に特別な一時セキュリティコードを送信するようFacebookに依頼できます。その後友達に連絡すると、Facebookにログインするコードを入手できます。

アカウントにログインできないような状態となった時、先ほど携帯番号に送らせたようなセキュリティコードを友人に送り、その友人からゲットしたコードを入力するとログインできる、というもののようです。
SNSらしい方法ですね。
さっそくこれらの方法でアカウントの保護を行なうことができました。

勝手にアカウント使われるのだけは気持ち悪い

ベネッセはじめ情報漏洩事件が増えてきて、ビッグデータの話も活発になってきて、ある程度信頼ある機関での個人情報運用は仕方ない気がしていたのですが、なりすましだけは頂けません。

セキュリティへの相応の対価を払っているなら責任は問えますが、facebookやLINEなどタダで使っている以上、そこまで期待できないという感じもします。もちろんそういった企業も信頼感なくなったらユーザー減ってしまうので、それなりの対策はその都度やってはくるでしょう。

やっぱり、SNSをその人の生活からなくなっても支障ないレベル、代替の効くものくらいの位置づけのほうがリスクが少ないのかもしれません。