昨年秋頃、

知人からとある相談を受けた。


知人の知人のWebサイトが乗っ取られて、いろんなサイトに攻撃している


知人の知人のサイトの管理画面のURLを教えていただき、ログインしてみた。

知人の知人のWebサイトはWordPressというCMSで運営していた。


管理画面を開いてみたけど、特に変わりはなかった。


しかしだよ、

画像をアップロードするフォルダにfunction.phpというファイルが生成されており、

このファイルを調べてみたら、いろんなサイトに悪質な攻撃をするプログラムが書かれていたではないか!

※function.phpは公開側のページを開く度に必ず実行されるファイルです


悪質な攻撃をするファイルを持っていたということで、

知人の知人は被害者ではなく加害者として扱われる様になり、

知人の知人のサイトは悪質サイトとしてサーバを借りている会社から閉鎖の処分を受けた。


知人の知人はWebで商売をしていたから、

それはもう被害は大きなものだった。




この話、

よくよく見てみると、


知人の知人は仕事でWebを利用していたがシステムに詳しい人を置かず、

利用していたCMSは脆弱性(セキュリティホール)のあるバージョンでそれを放置していた。


教えていただいたパスワードは分かりやすいもので、

おそらくコンピュータに自動で突破させようとすると10分で解読できるものだった。


因みによくあるアカウント情報の傾向は

IDがadminか個人名

パスワードは123456、password、携帯の番号か会社のドメイン+数字が2、3個つながったものらしい。


最後の会社のドメイン+数字というものが、

http://hoge.com/だった場合、

パスワードをhoge111とかhoge123にしているもの。


様々な会社のパスワードを見たけど、

会社のドメイン+数字が半端なく多かった。


WordPressを使用しているサイトで言えることだけど、

http://hoge.com/wp-admin

とURLの末尾にwp-adminを入れると管理画面が開いてしまうため、


試しにwp-adminを入れてログインフォームが開いたら、

とりあえずアカウントのパターンは試してみたくなるのが攻撃者の心理


システムに弱い人が、

こんなに簡単に管理画面のURLが分かるシステムを使っちゃダメだよ。


まぁ、とりあえず、

数日かけて知人の知人のサイトはなんとか復旧した


因みに、

サイトを運営しているCMSがWordPressかどうか簡単に分かる方法がある。

右クリックしてソースコードのページのソースを表示を開き、

Ctrl + Fでwp-という文字列を検索して引っかかったらほぼWordPressだとみて良い。


例:

<img src="https://********/wp/wp-content/uploads/2015/12/hoge.png" class="attachment-post-thumbnail wp-post-image">



1月1日の元旦、お昼頃に突然電話が鳴った。

私の知人からの電話だった。


内容は、

年末にコンピュータウィルスにかかって泣きそうだ


電話で聞いていると、

どうやらトロイの木馬というものにかかったらしく、

デスクトップ上のすべてのファイルが書き換えられて、

トロイの木馬(ソフトウェア) - Wikipedia


しかもインターネットを開こうとchromeを開くと、まともに起動しない。

変なサイトばかり開く。


あぁ、パソコンを乗っ取られたか。

しかもカード情報もとられたっぽい。


ヤバそうだったので、

すぐに彼にあってパソコンを見てみたら、なんと悲惨なことか!


早速調べてみたら、

乗っ取り系の悪質なプログラムが3個見つかった。


因みにこのパソコンはセキュリティ対策はされており、

年末にアダルトサイト系のサイトにはいってないとのこと。


引っ越しを検討していたから、

不動産系のサイトを巡回していた時にとある広告をクリックしたら突然おかしくなったとのこと




先日、私の他の知り合いと話している時、

年始に大変なことがありましたよと、元旦のことを話すと、


うちも怖くなってきたから調べてくれと頼まれ見てみたら、

勝手に無害なファイルを増産させてパソコンを重くさせる不正プログラムが数個入ってた。


早速有料のセキュリティソフトを購入して対応した。

そのセキュリティソフトは5機まで対応可能のものだったのでいくつかのパソコンに入れた。


他のパソコンにも設定している時の事、

インターネットエクスプローラ(IE)を開いて、あるソフトをダウンロードしようとした時、

間違えて海外のページを開いた瞬間、


いきなりIEの設定が書き換わって、

中国語のサイトが大量に開いた。


IEの設定を見てみたら、

中国語のサイトが勝手に開くように変わっていた。


パソコンを10分も操作してないのに、即効で感染したよ。


購入したセキュリティソフトで即効で解決したけど、

あまりにも簡単に感染するものだ。




感染した人に話を聞くと、

自分はコンピュータウィルスとか関係がないと思ってたとか、

うちのサイトは感染しても意味がないとか言うけど、


攻撃者の立場に立ってみると、

無関係な奴程弱く見えるから狙いたいもの。


空き巣だって、お金持ちの家を狙うのではなく、

お金はないかもしれないけど不用心の家を狙うだろ。


不用心な家に潜伏して、

ターゲットとなるお金持ちの家を監視して隙を見つける。


そういうことはWebサイトも同じです。

どんくさいサイトを狙って、そこからターゲットのサイトを狙う。


10000円ぐらいのお金を取れそうなユーザがいたら、

それを実践してノウハウ化する。


コンピュータは自動でずっと攻撃をしてくれるから、

次のどんくさいユーザを発見し次第、ノウハウを試す。


攻撃者はコンピュータのため、

電気さえあれば疲れ知らずの攻撃者になる。


だから無関係な人なんて誰もいない




とりあえず、

一件目の出来事があった時からハッキングについての勉強を始めた。


攻撃者の心理が分からないとどうしようもないからね。


そこで選んだ本が、


picture_large978-4-87311-731-7


O'Reillyのサイバーセキュリティプログラミング


Pythonで書かれたコードを読みながら、

どうやって攻撃しているかを学ぶもの


普段Pythonでは書いてないけど、

正直なところ、コードの解説を読むだけで十分。


プログラマでない人も背伸びして解説を読んで、

もやっと何となくで良いから頭に入れておくだけで全然違う。




次は、

プログラマではない人が読みやすい本を探して、


h_245670


日経BP書店の徳丸浩のWebセキュリティ教室


プログラマではない人向けに、

有名企業がどうやって攻撃されたが書いてある。


自身がこれに当てはまるかを判断するだけでも十分すぎる価値がある。




ほかに、

今回の件とは関係ありませんが良書として


0000000041452


Ohmshaの基礎からわかるTCP/IP ネットワークコンピューティング入門


4797382228_m


SBクリエイティブの暗号技術入門


TCP/IPの方でネット内に流れているパケットが如何に無防備であるかを知って、

暗号技術入門の方で、SSL/TLSの対応が如何に大事かを知る。


インターネットは無法地帯で、

常にどんくさいやつを狙っている。


これだけは常に頭に入れておいてほしいものです。




因みに私が初めてコンピュータウィルスにかかったのが、

大学三年生の時で、

かかったのは悪名高きW32 Blaster.Wormです。


新聞沙汰になったので、

ご存知の方も多いかと思います。


関連記事

インターネット内に流れているパケットを傍受してみる

SEO対策、他のCMS向けの総当り攻撃を避ける