1. ながらcast / Zumba天国
  2. ながらcast129 サイトのトラブ..
2020-12-12 23:06

ながらcast129 サイトのトラブル顛末記

spotify youtube
2週間前、店のサイトを閲覧しているお客様から、「閲覧していたら、突然カジノのサイトが開いた」という連絡がありました。サイトを閉鎖して1週間、なんとか原因を特定し、修復することができました。サーバーへの不正アクセスやCMSへの攻撃ではなく、自らが以前に設置した外部サービス「ドットメトリックス」へのリンクが原因でした。そのサービスが終了していて、どうもそのドメインを第三者が取得し、同じURLに悪意のあるプログラムを設置したようです。使わなくなったサービスのコードを削除しなかったのが原因です。今回の事態を憂慮し、今後セキュリティを強化する予定です。【「ながらcast」とは】
地方在住の50代後半のオヤジが、日常の些細な出来事を中心に、仕事である小さな個店のドタバタIT奮戦記、個人的なデジタル生活へのチャレンジ、夫婦のプチプラデート、オヤジのファッションなどについて、台本なしで語るポッドキャストです。通勤の時に歩き「ながら」録音しています。

【過去配信はこちらから】
https://anchor.fm/nagaracast

【YouTubeチャンネル 静岡プチプラデート】 https://www.youtube.com/channel/UCC--JyslmIxTvoVJsfVr5Sg

【おたよりはこちらでも】 https://forms.gle/pHX67DKKGUZTcgid7
00:06
はい、ながらcastです。
この番組は、静岡市に住む50代後半の私、sasayukiが、日常や仕事について台本なしで、通勤途中に歩きながら発信する番組です。
今日もよろしくお願いします。
今日は土曜日。なんだかコロナの感染もどんどん広がっていて、今、重症者とか亡くなった方が増えている状況で、GoToをやめた方がいいみたいな話も専門家会議から出ているみたいで、
経済も大事なんですが、医療体制の逼迫なんて話を今日もテレビでしてました。やっぱり鬼滅の話で言えば、判断が遅いって言われそうですね。
さて、今回はですね、自分が管理しているホームページ、サイトで、ちょっとトラブルがあったので、その話をしたいと思います。
これはね、先々週の日曜日に発覚した話で、復旧に1週間かかって、それから1週間経って、なんとなく落ち着いたって感じで、ようやく整理して話せる。
気持ち的になったので、これを聞いている方の中に、自分の会社のサイトを管理されている方がいるかどうかちょっとわからないんですが、もしかしたらお役に立つかもしれないので、お話ししたいと思います。
自分の店のサイトなんですけども、レンタルサーバーを借りていって、その中でCMSっていうコンテンツマネジメントシステムを使って、
ホームページを構成するHTMLファイルを書き出して運用しています。
03:11
発覚したのはですね、先々週の日曜日で閲覧している人からですね、サイト内をクリックすると、外部のページが表示されるというお客さんからの指摘があったんですね。
でですね、それを僕も聞いてですね、確認してみると、自分のところのトップページで何かリンクをクリックすると、ポンと手前にこれがね、ランダムに出るんですけども、海外のショッピングサイトだったり、
あとはカジノとか、あとはアダルト、あと楽天も出ましたね。そういう感じでいろんなページが表示されます。
これがですね、たまたま私その日自宅休みだったので、マックで確認したんですけど、これはね、会社に電話すると会社のWindowsは確認できないんですよ。
一応、ChromeとかEdge、あとExplorer、そういったもので見たんですが、確認できない。
ただ、自分の自宅のマックと、あと自分のAndroidの端末でもやっぱり同じような症状が出ているので、最初はね、ちょっと理由が全くわからない。
わからないんですけども、とりあえず症状は再現しているので、そういった事象が起こる場合と起こらない場合があるんですが、とにかく起こる場合があるということで、とにかく早く対応しなきゃいけないということでね、まずサイトの閉鎖というのを考えました。
ただですね、これが自宅のマックの場合、Chromeの拡張機能の中に不正なものがあるということも指摘されて、それを削除したら症状が消えたんですね。
06:03
だからもしかすると、ユーザーの環境によるものなのかもしれない。
ちょっと判断はつかなかったんですけども、いずれにしてもね、サイトを閉じた方がいいと思いまして、全てのアクセスを一旦Instagramに飛ばすという処理を準備をして、あとはいつやるかという話だったんですが、
Googleアナリティクスで見ていると、リアルタイムのユーザー数というのはそこそこ日曜日はいたんですね。
だから今ここで飛ばす処理をしちゃうと、閲覧している人がみんなそっちへ飛ばされちゃうんで、ちょっとそれはそれで問題あるなと思ってちょっと待ってたんですね。
翌朝になってですね、中に滞在している閲覧者の数がかなり減ったもんですから、そこでようやくですね、Instagramに飛ばすという処理をしました。
一応そこでね、サイトの不具合に遭遇する人はいなくなったので、まずこれが第一ですね。
で、Instagramの方にちょっと事情を説明して、今不具合があるので閲覧できないというような表記をして、とりあえずですね、応急処置をしました。
で、それから翌日なんですけども、会社に行って、ちょっと詳しい人にですね、まず相談して、そしたらですね、その方もまたさらに詳しい人を紹介してくださって、
そこからはね、セキュリティの専門家に相談しながら進めました。
で、まずやったのはレンタルサーバーの会社の方にですね、不正のアクセスはなかったかというチェックをしてもらうことでした。
で、それはそれで進めてもらいながら、ちょっとね、自分たちでもやれることを始めた次第です。
まあ、とにかくですね、サーバーにアクセスするFTPのアカウントとパスワードをまず、もともとそれなりのパスワードを使ってたんですけども、漏れてる可能性もあるので、もう一度ね、IDもパスワードもより強固なものに変更したりとかですね。
09:24
一応サーバー上のデータを全部ダウンロードして、極端な話、一回全部削除してから上げ直してもいいような準備をしたりしました。
で、走行するうちにですね、レンタルサーバーの方のサポートの返事が来て、不正アクセスの兆候はなかったという返事が来ました。
で、専門家の方がですね、いろいろ調べる中で、CMSの脆弱性があるんじゃないかという話も出てきたので、CMSの開発元ですね、そちらに問い合わせたり。
でもそちらの返答はですね、それはまたCMSの管理画面に入らないとそれはできない話だということで、簡単に割と結論を出されてしまって、ただまあ管理画面へのアクセスが不可能かっていうと、そこまで強固でもなかったんですね。
なので、可能性はまだ残っていました。
で、ただそこの開発元はですね、基本的にはユーザーサポートはしてなくて、CMSを提供するベンダーさんっていうんですかね、そちらがユーザーのサポートをするっていうスタイルなので、あんまりそれ以上は突っ込めないので。
最終的にはですね、この静岡県内にあるそういう会社に聞くしかないっていうところまでやってきました。
で、じゃあどこに聞くのっていうのでね、ちょっと悩んだんですが、そこそこ規模が大きくて、技術的なところもできそうな雰囲気の会社っていうのをホームページから予想してですね。
例えば人数が2人っていう会社だとちょっと大変だろうなとか、これこっちの都合なんですけども、今クリスマス前の書き入れ時でして、ホームページが止まってるっていうのは大変いたでなので、なるべく早く復旧したいっていうようなこちらの都合もあって、それなりの規模感がある会社。
12:25
で、選びました。
質問問い合わせフォームから問い合わせをして、そしたらね、そこから電話で数回話して、一番詳しい方がその日は出張中だったということで、翌日対応してもらったんですね。
で、こちらとしても今までの状況、レンタルサーバーの会社の返答だったり、CMSの開発元の返答なんかも含めて、こちらで今何やってるっていうようなことも全部まとめてメールで送ったりして、いろいろやってもらいました。
で、幸いその日の夜ですね、原因を特定してくれました。
で、一応対応もしてもらって、基本的な部分の修正ができて、問題がないことの確認までやってもらいました。
で、あとはね、こちらの方でその作業を水平展開すればOKということになったんで、何とかね、こちらでそれをやって、とは言ってもね、1日では実は終わらなくて、1日半かかったんですね。
なので、それでようやく復旧、また公開することができました。
なので、最終的にその解決してくださった会社に相談してから、ほんと1日半かかってないぐらいですね。
だからそこはものすごいスピード解決してくれたんで助かりました。
今回何が原因だったかというとですね、これは2016年に自分でこれは導入した外部サービスを呼び出すコードが悪さをしてました。
15:05
ドットメトリクスというサービスで、KPIを分析するツールっていう触れ込みで、当時紹介されて、それなりに認知されてたサービスだと思うんですけども、
その外部サービスを呼び出すためのスクリプトを自分で設置したんですね。
それをCMS上に書いて、で、吐き出すHTMLにそのコードがかなりの数のファイルに書かれていたっていうのがその時の状況で、
実はそのサービスはしばらく使ってて、ちょっと使うのをやめてしまって、サービス会社からもサービス提供できません、つまりずっとログインしてなかったので、
メールでいろんな情報を送ってくれてたんですけども、そのメールも来なくなっちゃって、もうだいぶ経ってた状態なんですね。
で、その時点で自分で書いたコードを削除しておけばよかったんですけども、それを放置してたんですね。
で、どうもそのサービス.metricsが終わってて、サービスが。で、その同じドメインを第三者が取得して、呼び出したURLに悪意のあるプログラムを書いたっていうのがどうも今回の原因だったようです。
なので結論としては、サイトへのサーバーへの不正アクセスもないし、CMSの脆弱性を攻撃したものでもなく、純粋に私が呼び出していた外部サービスが別のプログラムに置き換えられてたっていうのが真相のようです。
なので僕が若干心配しているのは、この.metricsっていうサービスを当時利用していた顧客がいると思うんですね。それが何千社かわかりませんけども、そのサーバー、自分たちのサイトを管理している私みたいな管理者がちゃんとそのコードを削除していればいいんですけども、
削除し忘れていると同じようなことが起こっているはずです。
で、その悪意のある第三者はそれを狙っていると思われるんですね。
18:01
なのでこの.metricsというサービス、情けないことに私はそれを利用していたことすら忘れていたんですけどね。
今回ちょっとメールをチェックしたら、昔の診断メール、お宅のサイトはこうでしたっていうメールがあの時期確か毎日来てたのかな、そういうこともようやく思い出した次第です。
この教訓はですね、とにかく利用していないものは消すということですね。
それらが悪さをする可能性があるということが今回よくわかりました。
僕の中ではね、自分で書いたコードが原因で、しかもそれが飛んだ先が違うものに置き換わっていたということで、
サーバーあるいはサイトへの直接的な攻撃ではなかったっていうのはちょっと気持ち的には楽だったんですけども、
管理者としてはやはりダメだったなというふうに反省しています。
今回のこのプログラムは結局他のサービス、外部サイトを開いて、そこをクリックすることで、
それが何を狙っているのかまでは結局は突き止めてないんですけども、中には落点が出たりするんで、
自分が開いたページだと思って間違えてクリックしちゃう可能性もあるのでね、
そういう場合は何かまた不正なプログラムがダウンロードされてしまう可能性もあるので、
お客様への対応もしっかりしていかなければいけないと思っています。
そんなわけでね、今回はちょっと自分の失敗談になるわけですけども、何かお役に立てばいいなと思います。
じゃあ今日はここまでにしたいと思います。
あ、でもその前に、今回こういう状況になって結構慌てたんですね。
なので、そういった不具合が出たときの対処のマニュアル的なものを作っておかなければならないなということも反省しました。
あと自分で構築しちゃっているので、詳しい人が周りにいないんですよね。
こういうのをどこか製作会社さんとかに依頼していれば、そういった部分はある程度面倒を見てくれると思ってね、
21:09
自分でやっちゃうことの悪い点が今回は出てしまったとも言えます。
こういうセキュリティの部分に関してはやはり、少なくともセキュリティに関してはプロのチェックが必要だなと痛感しましたね。
単純に言うとお詫びというか、今閉鎖していますという表示を出すのも今回どうしようかって考えて、
それを自社サイト内に置いちゃったときのリスクっていうのもやっぱり考えたんですね。
自分は良かると思って置いたページにまた何か不具合が発生したりするとまた問題が広がってしまうので、
今回はインスタグラムに飛ばすという方法を取ったんですけれども、
例えばこういう時にGoogleサイトみたいな外部サイトを使って表示することもできたなとは思うんですけれども、
ちょっと準備不足で、そんなトラブルが起きてからは新しいものを作るのは大変なので、
あらかじめそういったものがあればそこへパッとつなぐこともできたかなと思うので、
そういったことも考えておく必要がありますね。
こういったトラブルへの対応策っていうのをまた考えていこうと思います。
そんなところで今日は終わりにしたいと思います。
最後までお聞きいただきましてありがとうございました。
ではまた。
チュース。
23:06

コメント

スクロール