PictSquare/PictSpace/PictBLand:大規模情報漏洩等の話

 >>> この記事は約5分で読めます(600字/分換算)

2023-12-10

この記事をタイムリーな時期で公開することにセキュリティ上のためらいがあったため1ポストパスワード(限定)公開にします。ご了承ください(後日、公開にする可能性があります)

昨日、二次創作の方でTwitterを覗いてみたらかなり不穏な空気が流れていて……マジですか……となってました……

対応が素早かったのはすごくありがたいです。
クレジットカード情報を取り扱ってなかったのが不幸中の幸いだったと思います。

Twitter連携はしてなかったんですが、『有島乙芭』名義で色々使っていたサービスはパスワード変更しました。

有益な知見者の情報もあったのでそちらも掲載しておきます。

実は……あまり書いてませんでしたが、当サイトですらログイン攻撃(不正アクセス)は毎日執拗に行われているんです……ということをお伝えしておこうと思いまして。。。

WordPressはそのあたりがかなり厄介ですが、使い勝手がいいので世界規模で使われてるCMSです。

ですが、逆に最もクラッカー(セキュリティを破壊する人)に狙われやすいサイト(ブログ)だということも大きな特徴です。

一応その、証拠?写真を。。。。(なんのデータも持たない個人のサイトを乗っ取って何ができるのか、と思いますよね?ですが彼らにとってそれは些細なことなんですよ……)
※予防のため、画像内でも色々端折ってます

どこかから持ってきた写真じゃないですよ。
上記は、当サイト(https://arishima.info)への不正ログイン(ブルートフォース攻撃)のログデータ=証拠です。

アメリカからのアタックが一番多くてその次に中国ですね。1日のログイン試行回数自体がものすごい(100万件近い)数になってます。

なんのリンクも貼ってない、他の人の個人情報すら保有していない個人サイトですら、これが日常です。

WordPressは最近、特に酷い……以前使ってた時はそれほどでもなかったんですが……言語も関係してるかもしれません……(SQLインジェクションとか、あのあたりが……)

なので、PictSquareなどの運営会社さまも対策は講じていたとは思うのですが、いま一つ何かが足りなかったのかもしれません。(クラック手法は日々進化しているので……)

当サイトでは6月くらいから、コメント欄とは別にボタンを設置してますよね。
あちらにはスパムが大量に送られています。

それがこちら ⬇︎

こちらは圧倒的にロシアからが多いです。
最初のスパムがロシアだったので、そちら経由で当サイトのアドレスが流出してるのだと思います。

拍手設置してから134個ですよ?!スパムだけで……

感想どころかすら全然来ないのに、スパムだけバンバン来るサイト……_(:3」z)_

だけ5件……でもだけでも欲しい……_(:3」z)_ このの設置時点でスパム防止策は取れたんですが、感想送る時に面倒な認証手続き画面が出るのでやめたんですよね……そしたら感想は1件もこないのに、スパムがたくさん送られてくるという……_(:3」z)_

今はどこにもリンク貼ってないですし、Twitter(X)にも投稿のお知らせなど一切やってないので「いいね」すらもらえないのは仕方ないと思ってますが。(そろそろ色々リンクしたり、更新お知らせできるようにしたいなぁ…と思ってます)

 

なので、昨今は簡単だから〜という謳い文句でCMS(Wordpress)を導入する場合、ネットセキュリティの知識がないと自分で運営するのには厳しい状況になってきたなぁ、と思います。

サイトへのログイン攻撃もこういったスパムもほぼ自動化されたプログラムが動いてます。もちろん人力( 手動)ではありません。

無限実行できるプログラムが24時間動いているため、設置(開設)した人自身がセキュリティ対策をしないといけない、ということになっていて、それなりに手間がかかります。

その点、無料ブログなどはセキュリティ対策などに手をつける必要がないため、手軽に始めることができます。ただ、カスタマイズの幅が狭いor難しい+アフィリエイトが【基本禁止】されているということが難点かなぁ、と。

その辺りのトレードオフ関係は色々悩ましい問題ですが、有島は勉強がてら今後も使っていくと思いますので、何卒ご了承ください。<(_ _)>

また、自分自身のPCやネットワークデバイスを守るのは自分自身なので、セキュリティ対策はしすぎることはないのであわせてやっていってもらえたらなぁ、と思います。

※当サイトでは、Wordpressに関するセキュリティ対策は最新で行なっておりますので、ご安心ください。

※今後もこういった情報をブログ記事にしていく予定ですが、セキュリティ等の事情により限定公開記事になる可能性が高いです。ご了承ください。
1記事ごとの1ポストパスワード設定→X(Twitter)に鍵をかける→記事のURL+パスワードをポスト)

12/10〜:期間限定公開中

2023/12/10追記:ついでに、カスペルスキーの

CYBERTHREAT REAL-TIME MAP

リアルタイムサイバーアタックマップ貼っときます。(めっちゃきれいなんですけどね。。。)

    「♡いいね」ありがとうございます🙇
    励みになります!
    よければ他の記事もどうぞ(❁´ω`❁)つ📰

    選択式感想(複数選択可)

    お名前

    メッセージ

    にほんブログ村 ブログブログ 雑記ブログへ ←ポチッと推していただけると大変うれしいです(╹◡╹)人 応援ありがとうございます!