Web Diary Professional(WDP)でサイト乗っ取りハッキング被害が多発してます!
 
イメージ 1
 
あの平等院の公式ホームページが改ざんされる被害、そしてそのハッキングの原因となってる無料CGI Web Diary Professional(WDP)の悪用 について、読売新聞が取り上げてますなー。
 
平等院も被害…サポート切れで50万サイト危険 : IT&メディア  (読売新聞)
http://www.yomiuri.co.jp/it/20140612-OYT1T50017.html
 
インターネットブログなどの初心者向け無料作成ツール「ウェブ・ダイアリー・プロフェッショナル(WDP)」を使ったサイトが、改ざんされる例が相次いでいる。
WDPのサポート期間終了後に使い続けているためで、観光名所のサイトや個人ブログなど約50万サイトが改ざんされたり、改ざんの危険があったりするという。
世界遺産の「平等院」(京都府宇治市)の公式サイトは5月末頃、展覧会の日程などを掲載する「お知らせ」ページが改ざんされ、偽物とみられる高級ブランド品の販売サイトをネット検索上位に誘導するプログラムが埋め込まれていた。
このページに使われていたのがWDPだった。WDPは無料ツールながら、2009年4月まで改ざん防止対策などが施されていたが、サポート期間終了後に使い続けていると、サイトを管理するIDやパスワードが公開状態となり、改ざんされる危険が生じる。
 
んんん???
 
青い部分は間違いで、Web Diary Professional に「サポート期間」というものは存在しません。
 
利用ユーザーがセキュリティ対策を実施しておかない限り、単純な不可逆暗号(ハッシュ)で変換されたパスワード文字列を第三者に簡単に見られてしまう仕様があるんです。
 
このニュース以外に、ロシアのセキュリティ会社カスペルスキー(Kaspersky)が日本向けブログでハッキング被害の注意喚起してます。
 
日本独自のブログ作成ツールが攻撃者の標的に! (カスペルスキー)
https://blog.kaspersky.co.jp/obsolete-japanese-cms-targeted-by-criminals/
 
調査の結果、WDPを使用しているWebサイトのうち約8割が、問題を抱えた状態で公開されていることがわかりました。具体的には、ユーザー認証に使用するパスワードのハッシュ等を記載したファイルが、外部から閲覧可能な状態でした。
 
当事者ではない周りが騒いでるだけでは意味がなく、このニュースで Web Diary Professional の利用ユーザーさんがちゃんとアクションをとってくれるといいんだけれど…。
 

 
<追記...>
 
カスペルスキーの英語向けブログ記事では、一歩踏み込んで Web Diary Professional のパスワードクラックや解読の手口について詳しく紹介してます。 <パスワードガバガバなブログ例もURLアドレス伏せて公開!

Cybercriminals targeting obsolete Japanese blogging tool (Kaspersky)
https://securelist.com/blog/incidents/63730/cybercriminals-targeting-obsolete-japanese-blogging-tool/
 
そして、IPA 情報処理推進機構 からWDPの利用をすぐにやるよう注意喚起が出ました。
 
管理できていないウェブサイトは閉鎖の検討を (独立行政法人 情報処理推進機構)
http://www.ipa.go.jp/security/ciadr/vul/20140619-oldcms.html