大量改ざん発生

おそらくロリポップは昼夜徹しての対応になったでしょう。

2013年8月28日に起きた大量改ざんは、8,438件ものサイトが被害を受けたのですから。
この試練により、私はロリポップは強くなったという印象を持ちます。

 

ロリポップ大量改ざんの3つの原因

  • ロリポップのワードプレスインストールシステムの不備
    ⇒ 多くのサイトでハッカーにワードプレスの管理者権限を奪われました。
  • wp-config.phpの権限が甘かった
    ⇒ ハッカーによるデータベースの書き換えが可能な状態でした。
  • サーバー側のディレクトリの権限が甘かった
    ⇒ 一つのサイトのハッキングから他のサイトへ被害が拡大する状況でした。

 

大量改ざん ロリポップの対応の経緯

大量改ざんが発生した2013年8月28日

この時点では、ロリポップ側は自分たちに脆弱性があるとはまだ認識していませんでした。ワードプレス、または利用者に問題があるという考えていました。

2013年8月29日

少なくとも世の中一般におきているのではなく、ロリポップレンタルサーバーで集中して改ざんがおきているとロリポップ側は悟った様です。

そこで、慌ててサーバーのウィルススキャンと被害状況の確認を行っています。
当初、被害件数4,802件と想定していた様です。全体の60%にも満たなかったわけです。

この29日は作業に追われたのでしょう。被害拡大の防止を最優先として対策を講じている様でした。それ故、原因がロリポップ側に脆弱性があるのではなく、ワードプレスに問題があるという表現をしていました。

そして9月5日までの8日間

延々とロリポップ側は8,438件もの大量改ざんへのセキュリティ強化と復旧作業を行ったのでした。

2013年9月9日

ロリポップはやっと大量改ざんの原因は、ロリポップ側にある事を表明し、謝罪したのでした。

一方、私のワードプレスのサイトはどうなっていたかと言うと、
8月5日に既に改ざんされてしまったので、ハッカーは興味を示さなかったのでした。私の対応は不十分だったでしょう。おそらく、未だ脆弱だったのには変わらなかったのですが、何も改ざんされる事はありませんでした。

それ故、私は対岸の火事の如く、大量改ざんの様子を傍観していたのでした。

実は、私のワードプレスサイトも対象にロリポップがセキュリティ強化と復旧作業を行っていたとは思ってもみなかったのでした。

 

ロリポップの変化

この大量改ざんによりロリポップが強くなったのは以下の2点です。

  • 謙虚さ
  • セキュリティの強化

 

8月28日から9月9日の13日間、ロリポップ運営側は多くを学んだ筈です。

経営幹部から現場スタッフまで貴重な体験をしたと言って良いでしょう、ワードプレス以外でもデータベースのパスワードを変更するといった経営者レベルの重大な決断もされた様ですから。

技術的なセキュリティ強化が実施されましたが、ユーザーに対して謙虚になったのは大きな進歩だと感じています。

それにはおそらく下記の2つの理由があると私は考えています。

 

当初、大量改ざんの原因は自社にはないと判断を誤ったから

当初、大量改ざんの原因はワードプレス自体とユーザー側にあるという、誤った判断をしていました。それまでのロリポップの姿勢がそのまま表れていたのだと私は思います。サイトの改ざんは重大な事柄です。先ず、己の責任を果たしているか確認すべきだったでしょう。

ロリポップが反省をしてユーザーに謝罪した意味は大きいと感じます。また、問い合わせへの対応も改善されているのを感じます。

 

セキュリティを高めるにはユーザーにお願いする事柄もあるから

ロリポップのユーザーの利便性を重視した為に、セキュリティが疎かになったというのがこの大量改ざんの背景にあります。その為、ある意味、セキュリティを高めるとユーザーの利便性が損なわれるトレードオフの関係があります。

ロリポップは操作方法等を案内サイトで紹介しています。

参照) ロリポップのセキュリティ

 

特にサポートしないと言っているワードプレスに関してはそうも言っていられなくなっています。
それは、ロリポップはセキュリティを維持するには、ユーザー側の安全な利用の仕方をお願いする必要があると認識したからでしょう。

それ故、謙虚な姿勢になったのではないかと私は考えます。とても立派だと私は評価しています。