2012-10-19

今日は、珍しくレンタルサーバーを借りているさくらインターネットからメールが来ました。
『【重要】不正アクセスの危険性および対策について』という題名のメールでしたが、内容は簡潔に不正アクセスに気をつけて下さい的なものでした。

最近、なりすまし事件などもありましたのでそれに関連しての利用者への注意喚起と思われます。
いつもなら、サラッと目を通しておしまいなのですが、気になる部分がありました。

　以下のプログラムについては不正アクセスの踏み台にされているケースが
特に増加しておりますので、ご注意くださいますようお願いいたします。

　▼ WordPress（本体、プラグイン等）
　　　例）
　　　・XML-RPCの脆弱性
　　　　　http://jvndb.jvn.jp/ja/contents/2010/JVNDB-2010-004301.html
　　　・timthumb.phpの脆弱性
　　　　　http://www.jpcert.or.jp/wr/2011/wr113001.html#3

思いっきりWordPressが例に挙がっていました。

いまさら言うのもなんですが、当サイトもWordPressを使って運営しています。
ちょっとシャレにならないかもしれないと思いつつ、掲載されているHPを見てみました。

 link >>  JVNDB-2010-004301 – JVN iPedia – 脆弱性対策情報データベース

WordPressのxmlrpc.phpにおけるアクセス制限を回避される脆弱性があるそうです。
ただし、該当するのがWordPress3.03未満ということです。

調べてみると、Ver3.0が2010年の6月リリースなのでその頃からVerUPしていないと危険ということでしょうか。
2年ちょっと前といった頃かと思います。

WordPress Codex 日本語版の3.03のページに記述がありますので、3.03で修正されたようです。

 link >>  Version 3.0.3 – WordPress Codex 日本語版

ローカルで動かすソフトウェアではなくサーバーで動いているソフトウェアなのがやっかいです。
こまめにブログを更新しつつ、バージョンアップがあればすぐに実行したりしてサイトをきちんと管理されている方なら被害は受けにくいと思います。

ですが、ブログやHPというと始めたはいいが途中で飽きたり面倒になったりして放置されていたりすることも珍しくありません。
前述のように問題があるのはほんの2年前のバージョンです。

常に更新していれば2年は長いかもしれませんが、忘れてほったらかしにしていたりすると2年なんてあっという間ではないでしょうか。
たとえ更新していようがしていまいが、アクセス数が多かろうが少なかろうが悪用されれば大なり小なり被害を被ることになりかねません。


当サイトのWordPressは現時点で最新のVerにしてあります。
とはいえ、多少不安にもなりますので、念のため投稿設定を確認してみると・・・。

リモート投稿のXML-RPC投稿プロトコルが有効になっていました。
そういえば、以前に何か試そうと思って使ったような気がしなくもないです。

もう、このへんの曖昧なやり方から危険ですね。
ひとまずチェックを外して機能をオフにしておきました。

『誰でも「犯人」にされる恐れ』などという記事も決して初めて聞く内容というわけでもありません。
以前から目にはしていますが、あまり実感がなかったのが正直なところです。

 link >>  誰でも「犯人」にされる恐れ　ウイルス感染でPCを完全遠隔操作　 – ITmedia ニュース

ただ、実際に誤認逮捕などということがあったことを思うと遠い世界の話というわけでもなくなります。
誤認逮捕で個人情報が出てしまえば『間違えました。』『いや、わかればいいんですよ。hahaha』では済まない人がほとんどだと思います。

すっかり電子の要塞と化した自室を見つつ、ある日加害者になる危険を考えるとセキュリティもセキュリティソフトまかせなだけではなく自分でももう少ししっかり考えないといけないと思いました。