記事公開 2024/08/16 13:00頃
ご確認ください(失われた可能性のデータについて)
障害を復旧させる為に8/13(火)頃のホームページのデータに復元しております。そのため、8/13(火)~8/14(水)にかけてのデータは一部失われいている可能性がございます。そのため、
- 8/13(火)~8/14(水)の間に作成を行っていた下書き状態の記事
- 8/13(火)~8/14(水)の間に行った集会場の予約
これらは失われている可能性がある為、該当される方はお手数ではございますが、当該の記事や予約状況を今一度ご確認いただき、失われている場合は再度作成していただきますようお願いいたします。
ホームページの動作障害について(時系列と対応)
時系列順の対応を記載しています。なるべく分かりやすく記載していますが、とても長くなりますので、対応を知りたい方向けの内容となっております。不要な方はこちらは飛ばしていただいて問題ありません。
障害の連絡・症状を確認 8/14(水) 23:30頃
8/14(水) 23:33頃に「ホームページのTOPページにアクセスできない」「別のサイトに移動する」「その他ホームページの機能が利用できない」等の以下の症状連絡を受けました。
- ホームページのTOPにしかアクセスできず、他ページに移動できない
- 特定の端末(PC&スマホ)、特定のブラウザ(Chrome)などにてHPにアクセスすると海外の販売サイトに移動してしまう
初動判断と問題の切り分け 8/15(木) 1:30am頃
ホームページのTOPにしかアクセスできない
各種メニューへの操作などが行えず、押してもTOPページに戻ってしまう症状から、ページの読み込み処理に問題がある可能性を考慮。
特定の端末(PC&スマホ)、特定のブラウザ(Chrome)などにて海外の商品販売サイトに移動する
会社情報もない海外の商品販売サイトであり、また五番街のHPから自動で飛んでしまうのは異常な動作であることから、
- 特定の端末、もしくはその端末が利用しているインターネット環境の大元に不正アクセスが起こり、自動でページ移動してしまうハッキングを仕掛けられた可能性
- ホームページ自体に不正アクセスがあり、ページ移動してしまうハッキングを仕掛けられた可能性
- またはその両方の可能性
確認と考察 8/15(木) 2:00am頃
海外の販売サイトに移動してしまう動作を確認できる端末にて、当該の症状を目視で確認。
複数のPC、スマホにて同様の症状を確認。Webブラウザ「Chrome」で症状を確認でき「Microsoft Edge」で症状を確認できない(その場合はTOPページから移動できない)動作状況を確認。
自宅のPCや自前のiPhoneなどでは症状を確認できないこと、またその他を検証してみた結果、おそらく利用しているPCやスマホ、またはブラウザのセキュリティが反応して、移動を拒否して元の五番街のサイトへ移動させた結果、五番街のトップページしか表示されないという動作になっていたのではないかという初期判断。
セキュリティソフトは反応していないため、ウィルスなどによる可能性は低いと判断。そこから下記3パターンを大きく想定。
A.特定のインターネット環境が汚染されている可能性
インターネット接続環境の大元に手を入れた場合、特定のURLサイトへ強制移動させる仕組みが可能。しかしながらその場合五番街のHPだけでなく、他のサイトを閲覧した場合もそうなる可能性が高い為、可能性は考慮しつつも、他の要因の可能性が高いと予想。
また別の対応で症状が改善した際に再度症状を確認できた端末で動作が見られなければ、この可能性は消去できるため、一旦保留。
B.ホームページ自体にページ移動の仕組みが組み込まれている可能性
ブラウザのバージョンや、利用端末自体のセキュリティソフトの有無などによって、動作の違いは起きうるケースで、例えばセキュリティソフトが移動先の販売サイトをブラックリスト登録もしくは疑わしいサイトと判断していた場合、移動を拒否する可能性が高いです。
その結果、ホームページのあらゆるページから強制移動させようとしても、反応してTOPに自動的に戻ってくることによって「TOPページから移動できない」という動作がおきた可能性が1つ。
または埋め込まれた強制移動の仕組みが不完全で、移動ができる場合と出来ない場合がある可能性があります。(不正アクセスにより内容を中途半端に改変させられた場合はこういった動作になるケースがあります)
こちらの可能性が非常に高く見られるものの、復旧する場合「どこまで改変されたか」の特定が困難です。出来たとしてもとても時間がかかってしまいます。其の為、このケースの場合はホームページのバックアップデータを利用して全体を「巻き戻す」ロールバック対応が確実です。
ただしこの場合は戻した日付以降のデータが失われることがあるため、この可能性が高いものの一旦他の可能性がないかを先に検討後に対応予定として保留。
C.ホームページに利用されている数々のプラグイン(予約システムや、交流フォーラムなど)や、テーマ(全体の見た目を形作っているもの)の不具合の可能性
こちらの可能性は高くはありませんが、0ではないです。ホームページのいくつかのプラグインはホームページ全体で裏で読み込まれているものもあります。
原因が前述の「B」のケースであった場合、ロールバックする可能性が高いので、ロールバックをしても利用しているプラグイン自体に問題があった場合、ロールバック後にプラグインによって再度現象が起きるという状態になるため、先にこのプラグインの可能性はそう高くはないものの、確実にないことを検証してから、Bの対応を取る方針としました。
検証など 8/15(木) 3:00am~5:00am頃(箇条書き)
- 前述のケースCの可能性を排除するため、各種プラグインを全てオフに設定を試みる
- WordPress自体に異常があるため、Wordpressの管理者画面によるプラグインの設定が不可能と判明
- サーバー上のファイルを直接変更することで、プラグインを1つずつ強制的にオフに
- 全てのプラグインをオフにしたにも関わらず症状は改善されず、プラグインが原因ではない可能性が高めと判断、プラグインによる影響は一旦ないものとする
- サーバー上のWordpressを稼働させている基幹ファイル、特にページを強制移動させる要素が入りうるファイルを確認すると、8/14(水) 11:20am頃に改変されたと思しき変更記録を確認
- 解読を試みるが、動作が不鮮明で、影響範囲の特定には時間がかかりすぎると判断。解読や影響範囲の取得は諦め、サーバー自体のロールバック(巻き戻し)を仮決定。
- ただしロールバックをすると改変された痕跡データをあとで追跡できなくなるため、不正な改変がどのような経路で行われたのかを簡易的に判断するために調査。
不正な改変が行われた経路の簡易調査内容
- 管理者権限であれば基幹ファイルを変更可能
- 管理者権限は1つのアカウントのみで、当該ファイルを変更した日付付近にログインしていないかチェック
- ログインしていないことから、管理者権限のID/PWは漏洩していないと判断(ただし念の為ロールバック後はPWを変更する)
- 管理者権限によるログインを行わず、基幹部分が改変されたとなると、セキュリティホールを突かれた可能性が高い
- ホームページを稼働させている契約サーバー「X SERVER」の方には問題は報告されておらず、その可能性はないと判断
- となるとWordpress自体にバージョン違いによる影響の可能性を考慮
- 以前のホームページ委員会の対応としてバージョンアップを、予約システムなどの動作が確認できてから少し遅れてアップデートする対応に変更していたことを思い直し、その影響を考慮
- 「おそらく」ではあるが、最新バージョンにするまでの僅かな間のバグやセキュリティホールを利用した改変の可能性が高いと判断。
- 確定ではないがこれ以上は調査に時間がかかりすぎるため、断念。
- ホームページの正常稼働を優先すべく、ロールバック作業を開始
ロールバック作業(準備)と既存HPの動作を停止 8/15(木) 6:00am頃
- 改変されたと思わしき時間帯が8/14(水) 11:20であったことから、なるべくデータの損失が少なくなるであろうその前日の8/13(火)のデータのロールバック作業をX SERVER上で開始
(なお、X SERVERでは過去14日分のデータを自動で保持してくれている。8/13データで正常に戻らない場合は8/12, 11, 10….と試みる想定でした) - ロールバックには時間がかかるため、一旦現在のHPを表示してしまうと海外の販売サイトに移動してしまうため、代わりに空っぽの「メンテナンス中」と表示されるだけのサイトを用意し、そちらのみ表示させるように直接サーバー上のデータを追加変更
- ロールバックの対応完了を待機
ロールバック作業完了と、動作検証(初期段階) 8/15(木) 23:00頃~
- ロールバックの完了を確認
- 改変されたと思われていたファイルをロールバック後に確認。すると当該のファイルの最終変更日時は「2022/8/29」などの日付(新HP移行の頃)であることから、やはり2024/8/14 11:20頃に改変されたものと判断。
- いくつか初期化された設定があるので、それをもとに戻し、五番街HPが表示されるように修正
- 簡単な動作確認をしつつ、すぐにメンテナンスモード(一般の方が閲覧できない状態)に移行
異常動作を確認できた端末での動作正常化の確認 8/16(金) 1:00am頃~
- メンテナンスモードを一時的に解除
- 海外の販売サイトに移動する症状を確認できた端末にて、症状が改善されている確認
- 症状の改善を確認、これにより当該端末もしくはインターネット環境への汚染はないと判断
- メンテナンスモードに戻し、他の動作検証などに戻る
WordPress、および各種プラグイン更新を「自動」に変更+予約システムの動作検証など 8/16(金) 1:30am頃~9:00am頃
- WordPress本体、および利用しているプラグインを「全て」「自動更新」に変更
- 最新バージョンで「予約システム」などの動作検証
- 「交流フォーラム」の動作検証
- 各種アカウントのログイン動作や、記事作成権限の動作検証
- アカウントの漏洩はなかったようだが、念の為に管理者権限のPWを変更
メンテナンスモード解除 8/16(金) 9:30am頃
- 重要な部分の一通りの状態復帰を確認し終えたため、メンテナンスモードを解除
- ホームページの一般利用を再開し、一般利用者による不具合報告がないか待機状態へ移行
本記事の作成・公開まで~ 8/16(金) 10:00~13:00頃
- 本記事の作成を開始
- 13:00頃、記事公開
原因と今後の方針
以前、予約システムがしばらく使えない不具合が発生したことがありました。以前の不具合を避けるために予約システムのバージョン対応を慎重に確認してからバージョンアップを行うことで、予約システムが使えない時期をなくそうと対応しておりました。
ところが、今回はバージョンアップを一時保留した検証中の期間におけるよるセキュリティホールを突かれた可能が非常に高い結果となりました。しかもホームページの基幹ファイルを改ざんされるという、予約システムが使えない以上の不具合となってしまっています。
これは非常にリスクが大きいため、予約システムの不具合が今後発生するリスクがあったとしても、ホームページ自体が改ざんされないほうを最優先とするために、関連した全てのバージョンアップを自動化に変更することにしました。
そのためWordpress本体のバージョンアップに伴う、予約システムやその他の一部システム開発元の対応が遅れていた場合、一時的に当該の機能が正常動作しなくなる場合があります。
ホームページ委員会も早期対応を試みますが、ホームページ利用者の安全性を最優先とした結果となっておりますので、その際はご理解とご協力をいただけると幸いです。
コメント