「Hacked by Krad Xin」って具合にクラックされてしまったWordPressサイト

改ざんされたサイトの復旧方法について / 新着情報 / お知らせ - レンタルサーバーならロリポップ！にも書かれているがWordPressを対象にクラックが横行しておるようである。

今回の攻撃は攻撃されたら<title>Hacked by Krad Xin</title>とタイトルを変更するようである。更に<meta charset="UTF-7">などと指定されるため、大抵文字化けしてしまっているようである。
で、タイトルが「Hacked by Krad Xin」に書きかえられるってことはGoogle検索で「intitle:Hacked by Krad Xin」ってやればクラックされたサイトが出てくるんじゃね？と思い検索してみたらやっぱ出てきたばい。

1. Hacked by Krad Xin | BD GREY HAT HACKERS
2. Hacked by Krad Xin
3. 亀山サンシャインパーク イベント情報 | Hacked by Krad Xin
4. Hacked by Krad XinLink | Hacked by Krad Xin
5. MBA友の会 | Hacked by Krad Xin
6. Hacked by Krad Xin - CAFE & GALLERY ANTIGUA
7. Hacked by Krad Xin
8. 東近江市商工会 | Hacked by Krad Xin
9. NPO法人 Class for Everyone
10. ブルーパーク阿納
11. Japan Flag Hunt Association OFFICIAL WEB SITE | Hacked by Krad Xin
12. Hacked by Krad Xin
13. Fire Spirits | Hacked by Krad Xin
14. Katuo Guest House
15. ぶどう狩りご予約フォーム | Hacked by Krad Xin
16. Hacked by Krad Xin | syn(C)s
17. 伊豆 河津今井浜のペンション オーベルジュ　プチ・シャトー 【petit-chateau】 | Hacked by Krad Xin

探しているとキリがないくらい無数にやられとるのがわかるが、休眠しているサイトが多いと思ったがまだ現役で使ってるじゃんというサイトが結構ある。
なんで早く直さないのかなぁ？

Google Chromeで保存したパスワードを表示する際のセキュリティ問題について

Google Chromeでchrome://settings/passwordsにアクセスすると、現在Google Chromeで保存したIDとパスワードの一覧が表示される。
ログインしたIDとパスワード（マスクされている）が表示される。
マスクされているパスワードは「表示」ボタンを押すと表示される。

という機能があったらしい。知らんかったばい。
しかし、ローカルのコンピュータを人に貸すようなことがあった場合はちょい問題あるな。
何しろchrome://settings/passwordsにアクセスしただけで登録しているパスワードを見られてしまうからねぇ。
できれば、アクセスした際、マスターパスワードのようなものがあって、それを入力しないと表示できないようにするって方法があればいいんだけどねぇ。

Googleさんは修正しないのかなぁ・・・

( via Chrome’s insane password security strategy ・ elliottkember )
続きを読む

NAVERのパスワード漏えいはNAVER以外のサービスにも影響あるよねぇ

【NAVER】NAVER会員情報への不正アクセスに関するお知らせとパスワード変更のお願い

7月17日20時51分から18日10時57分まで不正アクセスに関する痕跡を確認。
流出した可能性のある情報
Eメールアドレス、ハッシュ化されたパスワード、アカウント名（ニックネーム）

流石にパスワードはハッシュ化されていたと見えるが、これも同じハッシュ値だと同じパスワードだとわかるので、犯人が前から保有していたNAVERアカウントを持っていれば、自分が設定したパスワードと同じハッシュ値を検索することでパスワードが分かってしまうアカウントもあるかもしれんな。
（パスワードだけでハッシュ値を求めるような関数ではなく、アカウント名とパスワードを組み合わせてハッシュ値を作るとよいのかもしれんな）

で、（めでたく）NAVERアカウント（Eメールアドレス）とパスワードが一致した場合、今度は犯人は別のサービスでそれらを組み合わせてログインを試みる可能性がある。勿論、いろんなサービスで同じパスワードを使うなよという突っ込みはあるだろうが、みんな結構使い回してるのが現実じゃないのかな？

※日本以外で提供しているNAVERサービスのアカウント、およびTwitter・Facebook・livedoorアカウント等でログインするOpen ID認証システムにより生成されたアカウントは対象外となります。

というのはOpenIDを使ったアカウントの場合はの場合はハッシュ化されたパスワードを格納するレコードには何もないのかもしれんな。
NAVERアカウントを登録したい - NAVERヘルプセンターには

NAVERアカウントの登録画面でご利用になるユーザー名、メールアドレス、パスワードを入力してください。このメールアドレスがログインIDとなります。

と書かれている。日本で提供しているNAVERサービスを利用するためのNAVERアカウント169万2,496件に影響があったということは、犯人は169万2,496件のメールアドレスの束を入手したことになるね。
で、スパムメール業者にこれが売られたとなると、もうNAVERとしては「パスワードがハッシュ化されてるから大丈夫だよね、ね？」というわけにはいかないであろう。
で、このメールアドレスを使って悪意のある第三者が「あなたのNAVERアカウントは流出しました、いますぐこちらでパスワードを変更してください」と偽のフィッシングサイトへ誘導してパスワードを入力させたりするような事態が起きなきゃいいけどねぇ・・・

ちなみに、【重要】NAVER会員ログインパスワード変更のお願いから「パスワード再設定」を押すと「500 - Internal Server Error」になるんだがｗ
大丈夫か？NAVER？

iGoogleの代替として検討していたPageFlakesのページ、なんか怪しくないか？

iGoogleがいよいよ終了するのでマイポータルサイトを本格的にさがしている。
NetvibesやMy Yahoo!でもいいのだがちょっとしっくりきていない。そういえば、PageFlakesってのがあったなと思い調べてみた。
サイトはあったのだが、どうもこのサイトはちょっとおかしい気がする。

【注意】以降のページでE-Mailとかパスワードの情報を入力しないようにしよう。
http://www.pageflakes.com/
にアクセスしたが、サインアップの画面がポップアップで表示される。
なんか怪しい。
しかもSSL接続ではないっぽい。
Pageflakes - Wikipedia, the free encyclopediaを見てみるとPageflakes Homepage[dead link]、Pageflakes Company Page[dead link]、Gallery of all available Flakes[dead link]となっている。
どうもやはり怪しそうである。これは個人情報を入力するのをためらってしまうな。
やっぱ他のを探さなければ・・・

候補としてはこんな感じか？

• Netvibes
• My Yahoo!
• -まとみ-
• iSoople

うーむ、どれも決定打にかけるな。
なんかいいのないですかねぇ。

Facebookに「電話番号を追加してアカウントの安全を確保しましょう。」と表示された

あまり最近アクセスしてないFacebookにアクセスしたところ、こんなメッセージが表示された。

電話番号を追加してアカウントの安全を確保しましょう。

ん？電話番号を追加するとアカウントの安全が確保される？？
ちょっと意味がわかんなかったんだが・・・

どうもいろいろ調べたらFacebookに登録する際、電話番号は登録していたっぽい。Facebookログイン認証の時にSMS認証としてケータイ電話の番号をつかってたっぽい。で、それと同じものを入力したかどうかをチェックしているという意見があった。

うーむ、いろいろわからんことが多いな。
このへんを読んで勉強してみるばい。

【Facebookアカウントが不正アクセス（ログイン）されていないか（乗っ取りがないか）確認しました】ログイン承認（認証）の設定もしました | 今村だけがよくわかるブログ
【Facebookのログイン承認（認証）機能は「ある操作」をすると強制的に解除されることがわかった】 | 今村だけがよくわかるブログ

WordPressのセキュリティ向上に最低限必要な12の設定

最近いろんなWebサービスが攻撃対象になり、各種サービスでは開発者が其々セキュリティ対策にサービスを更新する日々が続いている。既存サービスの場合は開発元がセキュリティ対応してくれるのだが、WordPressなどのような自分でCMSサービスを設置するタイプのものは自分でこのセキュリティ対策をし続けなければならない。

どこまでやればよいか悩ましいところもあるが、WordPress Securityに良く知られた定番のものから忘れがちな設定までまとめられていたのでメモっとくばい。
どれも直ぐに使えるものばかりなので一度設定してみるとよいですな。

1. 最新バージョンにアップデート

各種セキュリティ対応した最新バージョンにアップデートしておきましょう。プラグインについても更新しておこう。

2. ログインのカスタマイズ

デフォルトのAdminユーザのままではなく独自のユーザを作成し管理者権限を付与するようにしましょう。念のためデフォルトのAdminユーザは削除しちゃおう。で、この管理者用に作った独自ユーザは投稿用に使わないようにしましょう。管理者用アカウントを見せないほうがよいですな。

3. WordPressのバージョンを隠しましょう

どのバージョンを使っているかわかってしまうとそのバージョンに対する脆弱性を突かれる可能性があるよ。

4. ファイルシステムの権限を制限しよう

ファイルの権限はchmodを使って適切に制限しておこう。

5. バックアップを取っておこう

こまったときのバックアップ。バックアップのためのプラグインも幾つか出ているので活用しよう。

6. プラグインのアクセスを制限しよう

www.your-domain.com/wp-content/plugins/ とかにアクセスしたときプラグインファイルの一覧などが出てこないように空のindex.htmlを置いたり.htaccessで制限をかけたりしましょう。

7. データベーステーブルの接頭辞を変更

デフォルトの「Wp_」ってのはやめて別の接頭辞を使おう。

8. デフォルトの秘密鍵を変更しよう

secret-keyジェネレータにアクセスして AUTH_KEY , SECURE_AUTH_KEY , LOGGED_IN_KEY , NONCE_KEY , AUTH_SALT , SECURE_AUTH_SALT , LOGGED_IN_SALT , NONCE_SALT の値を変更しておこう。

9. セキュアなログインページ

ログインページのエラーメッセージを削除するようにしよう。

add_filter('login_errors',create_function('$a', "return null;"));

こうするとユーザ名とパスワードの部分に表示されるエラーを表示しないようにできるようです。

10. セキュアなデバイスを使おう

PCとサーバのウィルス対策、OSのアップデートはしておこう。

11. ログイン情報を共有しないようにしよう

他人とログイン情報を共有しないようにしよう。ソーシャル・エンジニアリング対策には限界がある。最もセキュリティ的に弱いのは人間ですな。

12. コンテンツを保護しよう

コンテンツをアップロードする際、意図せずにマルウェアなどをアップロードしてしまうことがあるかもしれない。更新作業は慎重にやりましょう。

なお、11にも少し言及されているがWordPressを動かすためのApache , PHP , MySQLやPostgreSQLなどのデータベースに代表されるミドルウェア及びLinuxなどのOSそのもののセキュリティ対策は別途必要である。

他にもいろいろあるのかもしれんが少なくとも上記12個はやってみたほうがよいですな。
（ via WordPress Security ）

SSLをログイン情報入力画面から使用していない脆弱性のあるサイトを調べてみた

2005年あたりから高木浩光先生がこんな指摘をされている。
高木浩光＠自宅の日記 - SSLを入力画面から使用しないのはそろそろ「脆弱性」と判断してしまってよいころかも
理由としては上記日記から引用するが

SSLをパスワード送信先の画面からではなく、入力画面から使わなくてはなら ない理由のもうひとつの重大な理由は、パケット改竄可能な状況での盗聴が可能になってしまうからだ。

ということのようだ。
あれからもう7年以上経過しこれは浸透しているのかなと思ったがまだログイン画面がSSLに対応していないところもあるっぽい。「SSLでのログインはこちら」とSSL利用、非利用のログイン画面を分けているところもある。個人的にはSSLのログインのみ可能にしていればよいと思うがhttpでのログインを何故用意しなければいけないのか合理的な解答が思いつかないので識者の方、教えてください。

まあ、Webの最北端に書いてあるこのページの情報はそんなに目にされることはないのでどの程度効果があるか知らんがGoogleさんで調べてみた結果をまとめてみることにした。

Googleで検索したのはこんな検索式。

intitle:ログイン画面 inurl:http://
intitle:ログイン inurl:http://

どのようなサービスをやっているのかは今回の調査では特に調べず、あくまでも上記検索式にヒットしたサイトを幾つか紹介するという感じである。
(SSLのログインを併用しているサイトもピックアップしています。上記検索式にヒットしないが、この手のサイトでダメな例によく取り上げられるのがmixi(ミクシィ)ね。)
で、その結果がこんな感じ。

1. Ameba (アメーバ)｜いっぱい遊べる！コミュニティ&ゲーム SNS
2. JALマイレージバンク - 会員ログイン
3. ログイン｜Ponta [ポンタ]
4. nanacoギフト / ログイン
5. ログイン - ポイントタウン byGMO
6. 「アクセスメール」-　ログイン
7. ログイン - ハンゲーム
8. ログイン｜無料ゲーム・オンラインゲームはネクソン
9. ログイン | Capcom Online Games(カプコンオンラインゲームズ)
10. 日本最大級のPC・スマートフォン対応アフィリエイトサービスA8.net
11. 会員ログイン｜FX｜外為オンライン　FX取引 − あなたの為の、外為を。
12. ログイン｜FXなら安心と信頼のFX セントラル短資ＦＸ
13. お客様ログイン | FXCMジャパン証券
14. 野村證券健康保険組合−ログイン
15. マイナビ2013 - ログイン画面
16. ログイン画面 | 転職・求人情報サイトのマイナビ転職
17. ログイン 日経BPビズボード
18. にほんブログ村 ログイン
19. ログイン｜パーソナルクラウド・データ保存・ファイル共有はマイポケット
20. ログイン｜ポイント＆懸賞でお得なネットライフをお届け！ フルーツメール
21. ログイン｜ひかりＴＶWeb会員
22. ログイン - Stickam JAPAN!(スティッカム)
23. ログイン 企業ユーザー向けライセンス版ダウンロード McAfee
24. ABC Cooking Studio 会員専用サイト　ログイン画面
25. ログイン画面｜速レポ〜お支払計算書・各種提供データ内容照会サービス｜法人・加盟店サービス｜ジャックス
26. 楽天トラベル：楽天会員ログイン画面
27. 【たのめーるインフォ】ログイン画面
28. Cisco Entrepreneur Institute: ログイン画面
29. 見積ログイン | 三井ダイレクト損保（クイックナビゲーション）
30. 山口県立大学YPU Mail for Students - ログイン
31. JTB旅ホ連ネット：ログイン画面
32. 群馬物産館eCommerceユーザログイン画面 - 日本医薬品販売株式会社
33. 社団法人 日本産科婦人科学会　ログイン画面
34. 文京学院大学・短期大学学習支援サイト: ログイン画面
35. アクアネオス ログイン画面
36. PubMedCLOUD ログイン画面
37. 日清医療食品会員さま専用ログイン画面
38. ログイン画面｜医中誌Web
39. ログイン画面|CROOZブログ
40. SPCグループウェアログイン画面
41. ログイン画面−学習の高速道路・高校生向け映像教材、映像授業｜ベリタス・アカデミー
42. デマンドモニタリングシステムログイン画面
43. Alliant International University: ログイン画面
44. アヴァンス　法務事務所　お客様ご利用履歴照会　ログイン画面
45. JOVY加盟店様サイト　ログイン画面
46. トータルマリアージュサポート　ログイン画面
47. 岡山おもてちょうサイト-ログイン画面ページ
48. 臨済禅　黄檗禅　公式サイト ： ログイン画面
49. よそうかい.com　ログイン画面
50. LOGIN - BPRESSONE -

まあこれでも高木先生のご尽力により減ってきているんだとは思いますが、中には金融系のサイトや企業情報を取り扱うサイト、かなり有名なサイト（驚き）などもあります・・・
個人的な感想としては医療系のサイトに不備が多いように見受けられます。
サイト担当者の方は何かの間違いで検索エンジンに引っ掛かってこのページをご覧になったらWebサイト構築担当者に一度ご相談いただき、是非修正いただきたいものであります。
よろしくばい。

(2013/1/27 23:30 調査サイトを追記)

「暗号化されたページをディスクに保存しない」の設定を推奨するWebサービスはいかんだろ？

どこのサービスとは言わないが「Internet Explorerを使っているユーザの方へのお知らせ」的なページでページの表示に不具合があるので「インターネットオプション→詳細設定→セキュリティ→暗号化されたページをディスクに保存しない」の項目をOFFにしてね、というお願いがされていた。
そもそも、この項目にはどういう意味があるのだろう？

セキュリティの話 Internet Explorerの設定２によると

＜解説＞
暗号化されたページには、クレジットカード番号などの 重要な情報を含む場合がありますので、これは保存せずに 削除したほうが安全です。よってONにしましょう。

つまり上記の設定を推奨するということは

暗号化されたページには、クレジットカード番号などの 重要な情報を含む場合があるけど、ディスクに保存しちゃうよ。でもいいよね？よってOFFにしましょう。

と言っているのではなかろうか？

Internet Explorerのversion 9のバグなのかわからんが、自社のWebサービスの閲覧のために一般ユーザのセキュリティレベルを下げさせることを推奨するってのはなんか違うだろ？
ちょっとどういう意図で上記のような設定を強いるのか謎である。
「暗号化されたページをディスクに保存しない」のキーワードでGoogle検索するとそういうサイトが幾つもあるなぁ・・・

あと「インターネットオプション→インターネットゾーンの設定を中から低にしてください」とか書かれているサイトも同じだな。

頼みますよ、ホント。

退会したはずのLinkedInからメールが来るのは個人情報を削除してないのか？

先日Linkedinのパスワードが漏えいしたようなので退会方法を調べてみたで記載したとおりLinkedInを退会した。元々殆ど使ってなかったのであまり未練はなく、退会完了しスッキリしていたのだが、昨日退会したはずのLinkedInからメールが来た。

From:linkedin@em.linkedin.com
Subject:【LinkedIn】Reid Hoffman（LinkedIn創業者）来日イベントUSTREAM中継のお知らせ 6月18日・19日
内容はLinkedIn 創業者リード・ホフマン × 楽天 三木谷浩史社長 日本応援 LinkedInファンイベント 今こそスタートアップ！を　- LinkedIn navi [リンクトインナビ]のお知らせだったのだが、ちょっと待て。何でオレのメールアドレス握ってるの？
サービス退会したからメールも送信されないのかなと思ったが退会後もユーザーのメールアドレスは保管してるのか？
メールの最後に、

LinkedIn ではサイト活用に役立つ情報を定期的にご案内しています。本メールの配信停止は、 こちら から行ってください。

と記載されているが、リンク先は、「Email marketing from Experian CheetahMail」というドメインだった。
これはLinkedInの登録情報とは別にLinkedInが会員情報をEmail marketing from Experian CheetahMailに送っているということなのかな？謎すぎるな。

要望としては退会後は別システムを使っていようが配信メールのアドレスも削除してほしいってことだな。

LinkedIn、いろいろ気持ち悪すぎるな。

Linkedinのパスワードが漏えいしたようなので退会方法を調べてみた

LinkedInが約650万件のパスワードを漏洩  利用者は今すぐパスワードの変更を！ | Over the Vertex of Technology by 朝山貴生に書かれているようにどうもLinkedInのパスワードが漏えいしたようである。（ ソースはこれか。Linkedin Blog ≫ Updating Your Password on LinkedIn and Other Account Security Best Practices ）
LinkedInの公式ブログを読むとパスワードが盗まれちゃったけど、そもそも「他のサイトで共通のパスワードを使うんじゃねーよ」とか「パスワードフレーズを辞書から使うんじゃねーよ」とか「文字の代わりに似た数字（E→3、o→0）にしたらどう？」とか言訳がましく書かれておるようだな。
で、まあパスワードの変更方法なども書かれているのだが、ここでは既にLinkedInって一度アカウント登録したけどもう使ってないよねという方に退会方法を紹介。

1. LinkedInにログイン
2. 右上の自分のアカウント名から「setting」を選ぶ
3. Account & Settings | LinkedInに遷移するので左下の「Account」から「Close your account」を選ぶ
   
4. 退会理由を聞かれるので理由を答え「Continue」を押す
   
5. 確認画面が表示されるので「Verify Account」を押す
6. ホントにいいのかもう一度聞かれる。本当に退会する場合は「Close Account」を押す

これで退会できると思われる。

ということで殆ど使ってないし退会してみた。気が向いたらまた登録するかな。