何が起きたか #
E/SASV Games 実行委員会は 5 月 1 日、公式サイトが 4 月 24 日と 27 日の二度にわたり外部からの不正アクセスを受け、ファイルが改ざんされた上で WebShell(不正な PHP ファイル)が仕掛けられていたと発表した。サイトは WordPress で構築されており、攻撃者は正規構成には存在しない PHP を公開ディレクトリへ設置することで、再侵入や任意のサーバ操作を可能にする足場を確保していたとみられる。
幸い会員の個人情報を保持する「マイページ」領域へのアクセス痕跡は確認されておらず、情報漏えいには至っていない。実行委員会は WordPress を完全に再構築し、安全なバックアップから全ファイルを復旧。サーバ内全ディレクトリの精査と不正ファイル削除を済ませた上で、Cloudflare による海外 IP と攻撃元 ASN の遮断を強化し、セキュリティプラグインによる監視も追加している。
CMS 運用に潜む典型的な弱点 #
今回の手口は WordPress を運用する小〜中規模サイトで定常的に観測されているパターンと一致する。テーマやプラグインの未パッチ脆弱性、もしくは管理画面の認証突破を起点に、公開ディレクトリ配下へ Web シェルを書き込み、検知されにくい形で潜伏するというものだ。WebShell は外形上は通常の PHP ファイルにしか見えないため、ファイルハッシュの定期検査やプラグイン経由でのディレクトリ監視を入れていない環境では、設置から発見までに数週間以上を要することも珍しくない。
復旧手順として「再構築+クリーンバックアップ復旧+ASN 単位のブロック」を選んだ判断は妥当だが、二度の侵入が短期間に繰り返された事実は、初回の侵入経路(脆弱なプラグインか、漏えいした認証情報か)を特定し塞がない限り再発の余地が残ることを示唆している。Cloudflare の IP/ASN ブロックは粗い網であり、TOR や住宅プロキシ経由の攻撃にはあまり効かない点も意識しておきたい。
COMMENTS 0
No comments yet — be the first to leave one.