WordPressになんでもかんでもプラグイン入れるのやめろ

2016年4月13日

本日はメルマガとnoteの日。実は先ほど公開しました。

1 ゲームアプリの販売戦略
2 わたしの文字入力方法
3 ランディングページ制作会社の選定基準
4 リンク先のページ遷移について
5 バズるブログの真髄とは
6 コンビニ弁当を食べ続けると死ぬ!?

です。まぐまぐ!またはBLOGOS、スマホで読む方はnoteでお買い上げいただけます。関係ないですがついでにInstagramもフォローしていただけると喜びます。

で、今朝はセキュリティ系の話題が立て続けです。

HP不正アクセス 最大で20万人の個人情報流出か
NHKニュース

こらNHK! こういう書き方したらヒューレット・パッカード(HP)が侵入されたとおもうじゃないか。ちゃんとWebサイトって書いて欲しい。

不正アクセスを受けたのは、東京・渋谷区にあるジュエリー販売会社、ザ・キッスのホームページで、このサイトでは指輪やネックレスなどアクセサリーの通信販売をしていました。会社によりますと、ことし2月ホームページの動きが鈍くなったため調べたところ、外部からの不正アクセスが発覚し、さらに2週間後に「ホームページから顧客の個人情報を盗んだ」という内容の英語の電子メールが届いたということです。会社は顧客に連絡するとともに警察に被害届を出したということですが、流出したおそれがあるのは最大で19万9709人分の名前、住所、生年月日などで、このうち537人分については、クレジットカードの番号や有効期限、それにカードの裏に記載され、本人認証に使う「セキュリティーコード」も含まれているということです。

ちょっと待ってくれよ。2月に侵入されて、2ヶ月後の今頃に発表??しかもカードやセキュリティコードまで盗まれた??
対応、遅すぎだろ、普通に。

サイト見てきました。

スクリーンショット 2016-04-13 11.16.41

1. 経緯
2016年2月10日、弊社にて不正アクセスの痕跡があったことを確認したため、第三者機関による調査開始と共に、管理ページのログインパスワード変更及び管理端末のセキュリティ対策を実施致しました。調査の結果、不正アクセスの原因となったプログラムが特定できたため、同年2月15日、対象となったプログラムを削除致しました。2016年2月24日、弊社コーポレイトサイトのお問合せメールにて、不正アクセスの犯人と思われる者から本サイトにハッキングした旨の通告があり、第三者機関による調査を行った結果、お客様情報漏洩の痕跡を確認し、所轄警察署への相談を開始致しました。

2016年3月2日、決済代行業者からお客様のクレジットカード情報漏洩の可能性がある旨の連絡を受け、本サイトのサービスを停止すると共に調査会社「Payment Card Forensics株式会社」(以下、「PCF社」といいます。)に調査を委託しました。その結果、外部からの不正アクセスにより個人情報及びクレジットカード情報漏洩の可能性があることが判明いたしました。(4月1日付のPCF社最終報告より)。

2.漏洩の可能性がある個人情報及びクレジットカード情報
①2016年1月16日から2016年3月2日までに本サイトでクレジットカードをご利用いただいたお客様、延べ537件のお客様情報およびクレジットカード情報 
氏名、クレジットカード番号、有効期限、セキュリティコード 
②会員登録されたお客様情報 最大199,709件
ユーザーID、パスワード(暗号化された)、氏名、住所、電話番号、メールアドレス、生年月日の内、お客様がご登録された情報

自分が被害に遭ったのはイモトのWi-Fiのときだが(詳細)、よく読むとこのときとは違っているようだ。イモトの時はそもそもシステム自体が素人が作った稚拙なレベルで、日本クレジットカード協会では「セキュリティコードを加盟店で保存することを禁止」しているにも関わらず、サーバ内に保存。それがごっそり盗まれた。

しかし今回はサーバに侵入されてはいるもののカード情報がばっさりやられたのは537名分ということは、サーバに不正なプログラムを置いて、カード番号を入れたのを外部に送信していたんではないかと素人の私が推測です。まあ侵入される時点でアレかとは思うけど、イモトの時のようにサーバ内に保管していたということはなさそう。しかしそれにしても対応が後手後手で、不正アクセスされてから1ヶ月近くもサイトをそのままで販売続けたというのが信じられない。普通は一回遮断して徹底的に精査するはずと思う。

今回、漏洩した30万人近くの顧客名簿と、537人分のクレジットカード情報はとっくに転売されているでしょう。自分の時は、速攻でパソコン2台買われたし(カード会社が1台は止めた)、他の人の中にはロシアでなにか購入された人もいました。中国人とはじめとする犯罪者集団に速攻で転売されているはずです。今後、詐欺メールや詐欺レター、オレオレ詐欺などがたくさん来ることも考えられます。また、パスワードや暗証番号を誕生日回りにしていたりするとヤバいですね。被害者の多くはリテラシー低めの女性っぽいので、よく分かってない気がしますよ。

パスワードが暗号化されていたとしても、LINEの大乗っ取りのように他サイトから盗んだパスワードを時間を掛けて解読される場合もあります。このサイトで使ってたパスワードを使い回ししてるとヤヴァイ。でも安いジュエリー買ってる女子はこんなブログは読まないんだろうな。

そしてWordPress

わたし、いつも書いているんですが、よく

これだけはいれとけ、WordPressプラグイン20選

みたいな素人さんの書くブログがあります。
プラグインをたくさんいれると重くなるし、さらにはプラグイン同士でぶつかることも多く発生します。自分もとあるプラグインいれると2段階認証が効かなくなったり、挙動不審になることを何度も経験しました。基本的には「入れるプラグインは最低限にとどめる」というのが常識です。

それに加え

パナマ文書の流出原因は、Wordpressのプラグイン? セキュリティが穴だらけだったことが判明

指摘をしたのは、WordfenceというWordpressのセキュリティを専門とする企業。ブログ記事によると、情報が漏洩した法律事務所Mossack FonsecaのウェブサイトはWordpressで構築されており、Revolution Sliderの古いバージョンを使用していたとのこと。それにより、ファイルのアップロードやサーバーへのスクリプト攻撃が、誰でも容易にできる状態にあったとのことで、Wordfenceではその手法についてビデオでも解説しています。

この場合はどうもプラグインが古いままでアップデートもしていなかったという杜撰な点を突かれたらしいということだが、そんなサイト、掃いて捨てるほどあるじゃんか。以前、ホームページリース詐欺について何度か書いたけど、中身見たら恐ろしく古いWordPressにアップデートもされてない大昔のプラグインでセキュリティって何?って感じ。しかも管理権限がないのでアップデートもできないという恐ろしいことになっていました。

これはまだ、きちんとアップデートしたら防げるのであるが、一番肝心なのは誰かが意図的に悪意のあるプラグインを配布して、騙されてそれをダウンロードしてインストールしてしまう可能性があるって事だ。WordPress.orgに登録するには一応審査はあるが、どの程度の審査かわからない。審査を通すためにきちんとしたものを作って、アップデートで悪意のある改変をされたら見破れないでしょ。加えてダウンロードして自分でインストールしてくださいという形で提供されたらどうしようもない。

よって、うちとかだと、定評のあるものだけを使い、エンジニアがソースをざっと見て怪しい点がないか視認しています。適当にちゃっちゃっと何でもかんでもプラグインぶっ込むのは止めておくのが吉だと思います。そこから侵入されて、閲覧者のPCにウイルスぶっ込むようなプログラム置かれたら、のちのちサイトも閉鎖になっちゃうから。

そんなこんなで、買い物は新規のショップじゃなくてAmazonとかセキュリティが高いところで、になる流れは止められませんね・・・

この本。タイトルの付け方が巧い。ターゲットも絞り込んでるし、評価も高いわけですね

  • -
  • 0
    このエントリーをはてなブックマークに追加
  • 0
    follow us in feedly
PAGE TOP