運営・維持サポート-その他CMS等

ITに関わらず、すべてのシステムにおいて脆弱性をなくすことは困難極まりないものです。

だからと言って脆弱性があることを肯定的にとらえることはございませんが、あることを前提に構築し、運営していくことが大切です。
トラブルが起こった時に大切なことは、

  • CMSの閉鎖、隔離
  • ユーザ、設備の被害状況確認
  • 原因の特定
  • 原因となる事象が発生したタイミングの特定
  • 復旧

トラブル時はサイトを閉鎖する覚悟と勇気

もうためらわずに閉鎖して隔離するしかありません。
安全な場所にバックアップを取るなりして公開したディレクトリ内は全部削除します。
空のディレクトリが攻撃の踏み台になることもありますので、1つも残さない方がいいでしょう。
必要があれば新規に作ったindex.htmlで案内文出しましょう。

被害状況確認

攻撃によって何が起こったのかを確認しましょう。
ここですべてが解明するわけではありません。見つけた被害以外にも被害や影響があった可能性もあります。
ログをよく見ましょう。

原因の特定

過去のバックアップデータとの差分で改ざん箇所がわかると思います。
バックアップがなければ、また、バックドアを仕込まれてから発覚までの期間が長い場合でバックドアを仕込まれる以前のデータがない場合は差分による特定は困難です。
初期データや当時のバージョンのCMS本体などと比べ、カスタマイズした箇所をしっかり見分けながら特定してください。
これもまた1箇所とは限りません。いくつかを見つけてもすべてを見つけたと思わないことが大切です。

原因となる事象が発生したタイミングの特定

前項と似ておりますが、DoSやDDoS攻撃の場合や不正ログインの場合は特定しておきましょう。
改ざんは原因を特定しているうちにわかると思います。

復旧

バックアップデータは公開前のもの以外は使わない方が無難だと思われます。
新規に同じ構成で構築し、データベースもインポートするのではなく、確実に入力して、元のデータベースを作り直す方が良いでしょう。

 

以上、ざっくりとした流れです。
バックアップデータを使って復旧し、発症を繰り返すことも多いようです。

トラブルが起こった時の備え

  • 充分なバックアップデータ
  • ログを残す設定
  • すぐにサイトを閉鎖する覚悟、権限、規約

以上は最低限必要だと思います。

トラブルを少しでも防ぐため

  • アップデートの実施
  • ウェブマスターツールの登録などで通知をしてもらうようにする
  • バックアップの自動化、世代の強化
  • WAFなどのセキュリティの導入
  • 接続PCのセキュリティの強化

これらを検討し、実施していくことが重要だと思います。

 

シライシ商店ではこれらのサポートも行なっております。
規模、状況によりお受けできない場合もございますが、ご相談、お問合せは無料で行なっています。