普段通っている美容院のお兄さんとお話していると、ふとしたことでこんな相談に(私がそれ系の仕事をしている、というのは美容院のお兄さんは知りません。。。)
うちのとこ、いちおうホームページあって、10年くらい前からぽちぽちやってるんですけど。。。
あまり最近見ていなかったんですが、8月に入って、久しぶりに更新しようとみてみたら、ページが表示されないんですよね、見つからないとか言われちゃって。
あーそうなんですね、もしよかったら見てみましょうか?気分転換ですしタダでいいですよー。と調子に乗ってみてみるところからお話は始まります。
で、おうちに帰ってレンサバの情報をもらって、あれこれ見てみると。。。
美容院のお兄さんがレンサバのほうに質問していて、その返答でレンサバの管理者がいうには、そのサイトはWordPressを使っているがそのIndex.phpがやられている、という話だったのだが。。
実態は、WordPressは使っていなかった。
古いMovable Typeの脆弱性をつかってがっつり攻撃を受けた結果、Movable TypeってWordPressと併用しているケースが多いから、っていうことでトップの Index.phpを改ざんしに行っていた、その結果として本来のindex.phpが動かずに、改ざんされたIndex.phpを呼び出して、何もechoしてないのでページが表示されない、という形でした。
というか、ほんまに↓のページの内容そのまんまで驚いた感じです。
ちなみに脆弱性自体の情報はこちら。
https://www.security-next.com/131421
https://www.jpcert.or.jp/at/2021/at210047.html
いろんなファイルに「Hacked by ….」(いろんなチーム名?)って書いている改ざんファイルがいっぱいありました。
こんなんとか。
こんなぐちゃぐちゃになっている状態を実際に見るのは初めてですし、脆弱性から次の攻撃につなげるやり方について、あーこういう手口を使ってくるのね、と、かなり勉強になりました。
とりあえずその美容院のお兄さんは、11月からページのリニューアル予定だったしそれまで体裁が保たれていればOKらしく、脆弱性はふさいでそれっぽいトップページを用意して、一件落着、となりました。
いろいろバックグラウンドとかヒアリングしたりで3時間くらいかかっちゃったし、ちょっと頑張ったから来月はタダにしてほしいとか思うけど、実際にそういう状況になると、いいかっこしようとして「やーいいですほほんと、気分転換になったので」とかごまかして、断っちゃうんだろうな。
まぁそんなこんなでお勉強になった話。