プログラミングゆるめモ

プログラミングに関することをゆるくメモしてます

WordPress セキュリティ

WordPress ログインURLが外部へ流失 その犯人があまりにも意外だった

2017/05/25

WordPress標準ログインURLに外国からかなりのアクセスがある

WordPressにログインするURLは、標準状態では ブログのURL/wp-admin/です。つまり、このブログではhttp://pgmemo.net/wp-admin/ ということになります。
以前の記事(ログに不正ログインの試みが記録されていたので対策を実施)にあるように、ハッキングの試みが絶えないためログインURLは変更してあります。ちなみに、アクセスログを見てみるとhttp://pgmemo.net/wp-admin/へのアクセスは、今でも毎日かなりの数あります。そしてそのアクセスはみな外国とおぼしき所からです。本当のログインURLは、やたらと長い無意味な文字列になっており、外部からアクセスされることはありえないと思っていました。
がしかしです・・・

WordPress ログインURLが外部からアクセスされていた

サーバーのアクセスログに、本当のログインURLへ外部からアクセスされた記録が残っていました。
ギョギョギョギョギョ~、背中にいやな汗が・・・ウイルス感染・・・データ流出だぁ 顔面蒼白ですよ。
そして、ログを眺めるとその不正アクセスとおぼしきIPからは、大量のアクセス記録が残っておりました。そのIPアドレスを逆引きしてみると何と!
.trendmicro.comと出てきました。
なんと犯人は、トレンドマイクロでした。
そう、アンチウイルスソフトが犯人だったというオチです。ぐぐってみると、トレンドマイクロ社のアンチウイルスソフトであるウイルスバスターをインストールすると、アクセスしたURLに対してトレンドマイクロのサーバがアクセスを行うという動作を実行するという記事が多数出てきました。つまり、アクセス記録が全部トレンドマイクロのサーバーへ送信されているということです。これは恐ろしいですね。プライバシーも何もあったものじゃありません。
ウイルスバスターの設定には、端末情報の送信の設定に関して2個の項目があったのですが、いずれもデータの送信は許可しないようにチェックを外していました。
(□コンピュータの端末環境情報をトレンドマイクロへ送信する)
(□脅威情報をトレンドマイクロへ送信する)
なので、アクセス記録を全部トレンドマイクロのサーバーに送信するというのは、標準の機能?なのでしょう。
いやはや、恐ろしいです。
個人のアクセス記録が送信されているというのも気持ち悪いですが、企業のパソコンのアクセス記録がもし送信されて、解析とかされたら企業活動動向とかダダモレですね。
ウイルスバスターはアンインストールして、ログインURLも変更しました。なんともどこに落とし穴があるかわからないというお話でした。

 

追記

その後、トレンドマイクロのプライバシーポリシーを調べてみました。[お客様の端末情報の送信についてのプライバシーポリシー(個人向け製品用)(http://safe.trendmicro.jp/products/vb/legal.aspx)]
プログラムインストール時に、やたらと長ったらしい(誰も読まない?)文言が表示されますが、その中にもわかりづらい表現ですがデータの収集について書いてありました。
(1)収集する脅威情報関連
①脅威情報
②お客様環境においてアクセス可能またはお客様がアクセスしたURL
③メールデータの一部
④モバイルアプリ情報
⑤データの一部
(2)端末情報関連
①端末固有ID
②位置情報
③パスワード管理を行うWebサイト情報
④アプリケーションストアにおける購入情報
⑤弊社製品利用情報(ユーザビヘイビアモニタリング等)
⑥端末環境情報
要するに、パスワードも含めてほとんどのプライバシー情報が送信されるということのようです。
そして
「取得の停止について:製品画面上で「脅威情報」にかかるチェックボックスを OFF にした場 合、以下の①脅威情報のみ OFF になります。その他については各機能またはアプリケーショ ンのご利用を中止いただく必要があります。」とありました。
つまり、「②お客様環境においてアクセス可能またはお客様がアクセスしたURL」の収集を中止させるためには、ネットにアクセスするのをやめるか、ウイルスバスターの利用をやめるかしかないということのようです。
(「端末環境情報」をOFFにすると⑤と⑥だけがOFFになるそうです)
これって、一般的に知られていることなんでしょうか。ここまで個人情報を収集しているとは・・・
皆さん、ご存知でしたか?

-WordPress, セキュリティ