編集部からのお知らせ
Topic 本人認証の重要性
宇宙ビジネスの記事まとめダウンロード

私はこうしてサイトをハッキングされました--あるセキュリティ専門家の告白

David Gewirtz (Special to ZDNet.com) 翻訳校正: 川村インターナショナル

2014-07-11 07:30

 始まりは妻から届いたテキストメッセージだった。「ZATZサイトが不快なポルノに乗っ取られた」という。これは祝日前の午後6時に見たいメッセージではない。独立記念日の週末が始まる米国時間7月3日の夜は、いつもより長い時間ソファーに座ってテレビを見るつもりだったが、そういうわけにはいかなくなった。

 それどころか、午前2時ごろまでポルノを削除する羽目になった。

figure_1

 筆者は2013年中ごろに、ある決定を下したのだが、それが直接的な原因となって、2014年7月3日をソファーの上で過ごすことができなかった。いずれ困った事態になるということは大体分かっていたわけだが、実際にそうなった。

 現在の世界では、ウェブサイト運営者とスパマーや詐欺師の間で、絶えず軍拡競争が繰り広げられている。こうした犯罪者の狙いは、ウェブサイトを利用して、マルウェアの拡散からポルノサイトへの自動誘導まで、あらゆる悪事を働くことだ。

 これは軍拡競争であるため、自分のサイトや、サイト上で稼働するサーバソフトウェア、保護システムを常にアップデートすることは、ウェブサイト運営者の義務である。これらの対策をすべて講じておかなければ、犯罪者が抜け穴を見つけて侵入する可能性が残ってしまう。

 それこそまさに、犯罪者たちが筆者のサイトでしたことだ。具体的に説明すると、モバイルバージョンのサイトにだけリダイレクトメッセージが埋め込まれた。そのため、デスクトップブラウザでサイトにアクセスしても、全く問題がないように見えた。しかし、モバイルブラウザでサイトにアクセスすると、犯罪者たちがサイトのコードにアクセスして、ポルノサイトへのリダイレクトに置き換えたことが分かる。

 完全に防止できることだった。

 もちろん、サイバーセキュリティの専門家がハッキングされることの皮肉も理解している。筆者がサイトを放置するようにアドバイスすることは決してないが、ハッキングされるにしても、尊大なサイバー戦争顧問と一般のウェブサイト運営者には1つ違いがある。筆者は修正する方法を知っているということだ。とはいえ、ハッキングの影響を緩和する作業にはうんざりする。特に、休みの夜の予定が台無しになるときは最悪だ。

 このような事態になったいきさつを説明しよう。ZATZサイトはもう、以前ほど頻繁に更新されていない。かつては多くのユーザーが訪れるサイトだったが、筆者の職業が起業家から顧問、コラムニスト、教育者に変わったことで、ZATZの大量の記事も今では単なるアーカイブになっている。広告収入は全く得ておらず(ただし、今でも古い広告がいくつか表示される)、筆者が同サイトで時間を過ごすことはほとんどない。

 ZATZは「WordPress」のサイトだ。筆者は数年前、ZATZをWordPressに移した。WordPressでは高い水準のサポートを受けられるというのが主な理由だ。ただし、WordPressには1つ難点がある。WordPressは膨大な数のサイトで利用されているため、ハッカーにとっても非常に目立つ標的になってしまう。

 さまざまなセキュリティプラグインなど、WordPressサイトの守りを固める手段は非常に多い。ZATZサイトはセキュリティ対策が施されていたし、セキュリティプラグインも使っていた。

 では、筆者は何を誤ったのだろうか。なぜ今回の件は筆者の責任なのか。

 WordPressサイトをハッキングから守るためにやるべきことはたくさんあるが、黄金律が1つある(筆者はこれを破ってしまった)。WordPressを常に最新の状態にしておくことだ。これには、WordPressコア、使用するすべてのテーマ、あらゆるプラグインをアップデートすることが含まれる。

ZDNet Japan 記事を毎朝メールでまとめ読み(登録無料)

特集

CIO

モバイル

セキュリティ

スペシャル

ホワイトペーパー

新着

ランキング

  1. クラウドコンピューティング

    MITスローン編著、経営層向けガイド「AIと機械学習の重要性」日本語版

  2. クラウドコンピューティング

    AWS提供! 機械学習でビジネスの成功を掴むためのエグゼクティブ向けプレイブック

  3. クラウドコンピューティング

    DX実現の鍵は「深層学習を用いたアプリ開発の高度化」 最適な導入アプローチをIDCが提言

  4. セキュリティ

    ランサムウェアを阻止するための10のベストプラクティス、エンドポイント保護編

  5. セキュリティ

    テレワークで急増、リモートデスクトップ経由のサイバー脅威、実態と対策とは

NEWSLETTERS

エンタープライズ・コンピューティングの最前線を配信

ZDNet Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]