PictSquare/PictSpace/PictBLand:大規模情報漏洩等の話
この記事をタイムリーな時期で公開することにセキュリティ上のためらいがあったため1ポストパスワード(限定)公開にします。ご了承ください。(後日、公開にする可能性があります)
昨日、二次創作の方でTwitterを覗いてみたらかなり不穏な空気が流れていて……マジですか……となってました……
【弊社サービスにおける重要なセキュリティ情報とお詫び】
弊社サービスをご利用いただいている皆様に、大変重要なお知らせとお詫びの言葉を申し上げます。
先日、当サービスのデータベースに不正アクセスが行われ、データベースの情報が第三者によって流出した可能性が判明いたしました。…
— pictBLand@BL特化SNS (@pictBLand) August 15, 2023
対応が素早かったのはすごくありがたいです。
クレジットカード情報を取り扱ってなかったのが不幸中の幸いだったと思います。
Twitter連携はしてなかったんですが、『有島乙芭』名義で色々使っていたサービスはパスワード変更しました。
有益な知見者の情報もあったのでそちらも掲載しておきます。
pictSquareのデータベースに不正アクセスが行われ、3時間ほど前にリークサイトに公開されました。
登録ユーザーは、パスワードの使い回しが狙われております。至急パスワードの変更をして下さい。… pic.twitter.com/dS9NEqyAAR— 二本松哲也 ♢ qualias.eth (@t_nihonmatsu) August 15, 2023
実は……あまり書いてませんでしたが、当サイトですらログイン攻撃(不正アクセス)は毎日執拗に行われているんです……ということをお伝えしておこうと思いまして。。。
WordPressはそのあたりがかなり厄介ですが、使い勝手がいいので世界規模で使われてるCMSです。
ですが、逆に最もクラッカー(セキュリティを破壊する人)に狙われやすいサイト(ブログ)だということも大きな特徴です。
一応その、証拠?写真を。。。。(なんのデータも持たない個人のサイトを乗っ取って何ができるのか、と思いますよね?ですが彼らにとってそれは些細なことなんですよ……)
※予防のため、画像内でも色々端折ってます
どこかから持ってきた写真じゃないですよ。
上記は、当サイト(https://arishima.info)への不正ログイン(ブルートフォース攻撃)のログデータ=証拠です。
アメリカからのアタックが一番多くてその次に中国ですね。1日のログイン試行回数自体がものすごい(100万件近い)数になってます。
なんのリンクも貼ってない、他の人の個人情報すら保有していない個人サイトですら、これが日常です。
WordPressは最近、特に酷い……以前使ってた時はそれほどでもなかったんですが……言語も関係してるかもしれません……(SQLインジェクションとか、あのあたりが……)
なので、PictSquareなどの運営会社さまも対策は講じていたとは思うのですが、いま一つ何かが足りなかったのかもしれません。(クラック手法は日々進化しているので……)
当サイトでは6月くらいから、コメント欄とは別にボタンを設置してますよね。
あちらにはスパムが大量に送られています。
それがこちら ⬇︎
こちらは圧倒的にロシアからが多いです。
最初のスパムがロシアだったので、そちら経由で当サイトのアドレスが流出してるのだと思います。
拍手設置してから134個ですよ?!スパムだけで……
感想どころかすら全然来ないのに、スパムだけバンバン来るサイト……_(:3」z)_
だけ5件……でもだけでも欲しい……_(:3」z)_ このの設置時点でスパム防止策は取れたんですが、感想送る時に面倒な認証手続き画面が出るのでやめたんですよね……そしたら感想は1件もこないのに、スパムがたくさん送られてくるという……_(:3」z)_
今はどこにもリンク貼ってないですし、Twitter(X)にも投稿のお知らせなど一切やってないので「いいね」すらもらえないのは仕方ないと思ってますが。(そろそろ色々リンクしたり、更新お知らせできるようにしたいなぁ…と思ってます)
なので、昨今は簡単だから〜という謳い文句でCMS(Wordpress)を導入する場合、ネットセキュリティの知識がないと自分で運営するのには厳しい状況になってきたなぁ、と思います。
サイトへのログイン攻撃もこういったスパムもほぼ自動化されたプログラムが動いてます。もちろん人力( 手動)ではありません。
無限実行できるプログラムが24時間動いているため、設置(開設)した人自身がセキュリティ対策をしないといけない、ということになっていて、それなりに手間がかかります。
その点、無料ブログなどはセキュリティ対策などに手をつける必要がないため、手軽に始めることができます。ただ、カスタマイズの幅が狭いor難しい+アフィリエイトが【基本禁止】されているということが難点かなぁ、と。
その辺りのトレードオフ関係は色々悩ましい問題ですが、有島は勉強がてら今後も使っていくと思いますので、何卒ご了承ください。<(_ _)>
また、自分自身のPCやネットワークデバイスを守るのは自分自身なので、セキュリティ対策はしすぎることはないのであわせてやっていってもらえたらなぁ、と思います。
※当サイトでは、Wordpressに関するセキュリティ対策は最新で行なっておりますので、ご安心ください。
※今後もこういった情報をブログ記事にしていく予定ですが、セキュリティ等の事情により限定公開記事になる可能性が高いです。ご了承ください。
(1記事ごとのパスワード設定→X(Twitter)に鍵をかける→記事のURL+パスワードをポスト)
12/10〜:期間限定公開中
2023/12/10追記:ついでに、カスペルスキーの
CYBERTHREAT REAL-TIME MAP
リアルタイムサイバーアタックマップ貼っときます。(めっちゃきれいなんですけどね。。。)