レンタル共有サーバーワードプレスハッキングの責任は誰にある?
ワードプレスのマルウェアレスキューや問題解決を行ってきた経験から言える事実として、レンタル共有サーバーなどのホスティング会社は、ハッキングやマルウェアなどの脆弱性の脅威被害に責任を持たないという事です。仮に、サーバー領域の問題であるとしてもサーバー会社を責める事は「不毛」です。この記事は、サーバーやプログラミングに詳しくない「初心者の方」向けとなっています。
ワードプレスが脆弱性攻撃の被害を受けると原因個所は以下の3パターンに別けられます。
- ワードプレスアプリケーション側にセキュリティホールがある場合
- LinuxのOSやミドルウェア(Apache/Nginx/MySQL etc…)や物理ハードウェアなどのサーバー側にセキュリティホールがある場合
- 両方にセキュリティホールがある場合
Linux(リナックス)とは、WindowsやMacの様なサーバーのOS(≒ソフトウェア)です(WindowsはパソコンのOS)。ミドルウェアとは、サーバー会社データセンターの1室で大量に稼働しているサーバー1台の中で動くLinuxの中、ワードプレスのプログラムを実行するための大切なソフトウェアです。
ミドルウェアのApacheやNginxは、データセンターにある物理サーバーからユーザーのスマホやパソコンとデータの送受信をします。
ミドルウェアのMySQLデータベースは、ワードプレスログインユーザーの名前/メールアドレス/パスワードなどを物理サーバーの中でデータとして保存する保管庫です。
1.ワードプレスアプリケーション側にセキュリティホールがある場合
この場合、html、css、phpやjavascriptなどのソースコードから構成されるワードプレスを運営している人間、つまりレンタル共有サーバーを契約して使っている契約者の責任となります。なぜならば、OSSであるワードプレスの無料ソースコードを使う事を選んだのはレンタル共有サーバー会社ではなく、契約者自身の選択であるからです。OSSと言われる無償で使えるオープンソースソフトウェアは、無償ですので責任の所在は利用することを選んだ当人にあるという大前提があります。ワードプレスに限らず、すべてのOSSで同じことが言えます。
ワードプレス本体/テーマ/プラグインやphpやApache/NginxウェブサーバーやMySQLデータベースなどのバージョンが古い事によるセキュリティホールも契約者自身の管理責任となります。
例えが下手で申し訳ないのですが、車に例えると、車(レンタル共有サーバー)を買った後、車の天井にキャリア・ルーフボックス(ワードプレス)を購入者が自ら取り付けて、キャリア・ルーフボックス(ワードプレス)でトラブルが起きたのに、車メーカー(サーバー会社)へ購入者がクレームを伝えるという様なことはありえるのかどうか?考えてみてください。
車の場合、あきらかにキャリア・ルーフボックス(ワードプレス)の製作メーカーに伝えるべきだとわかります。しかし、ITの事になると知識が無いために責任の所在がすべてサーバー会社にあると思い込む人も存在します。否定するわけではなく、個人の専門分野が違うので仕方が無い事です。
こういった問題の対策にコールセンターを作ると、サーバー会社の人件費高騰につながることもあり、サーバー会社は基本的にトラブル責任を一切負わず、契約時の規約にも一切の責任を負わないと記載することが常識です。レンタル共有サーバー会社が、たかだか月500円や月1500円で、非エンジニアの契約者に対して契約前の説明責任を負うことも無理ゲーです。
2.サーバー側にセキュリティホールがある場合
- LinuxなどのサーバーOSのセキュリティホール
- レンタル共有サーバー会社のデータセンターにおける物理的なハードウェアのセキュリティホール
このような事がセキュリティホールである場合、責任は、レンタル共有サーバー会社にあると考えることもできます。そして、レンタル共有サーバー会社のホームページには「メンテナンス情報」の告知ページがあります。メンテナンス全てがセキュリティホール対策を行っているというわけではないですが、メンテナンスのタスクが細かく、多すぎて公表されない、契約者は知ることが出来無い細かいメンテナンスなどもあります。
レンタル共有サーバー会社はいかなる責任も持たない
しかし、規約によりレンタル共有サーバー会社はいかなる損害賠償も責任を負いません。レンタル共有サーバー会社に責任を求める行為は「不毛」です。レンタル共有サーバー会社を擁護するつもりはありませんが、たかだか月500円や月1500円程度で、すべての責任をビジネスとして全う出来ること自体がありえません。私もホスティングの契約を顧客と行う際は、いかなる責任も負いかねることをはっきり言います。ホスティング事業者であれば常識です。
いかなる場合も、レンタル共有サーバーにおけるワードプレスハッキングの責任は契約者の自己責任となります。
エックスサーバー株式会社の利用規約抜粋
2020年8月18日のもの。
第6章 [ 損害賠償等 ]
第23条 損害賠償
1. 弊社は、利用者に対し、本サービスの利用により発生した一切の損害について、原則としていかなる責任も負わないものとし、当該損害の賠償をする義務もないものとします。万一、弊社の故意または重過失が理由で利用者に損害が発生した場合は、利用者が弊社に支払ったサービス利用料金を限度として損害賠償責任を負うものとします。
2. 弊社が利用者の登録、掲載した情報を削除し、利用者の資格を停止、抹消し、本サービスを停止、中断、中止等したことにつき、弊社は事由のいかんを問わず一切の損害賠償義務を負わないものとします。
3. 利用者が本サービスの利用によって他の本サービス利用者または第三者に対して損害を与えた場合、利用者は自己の責任と費用をもって解決し、弊社に損害を与えることのないものとします。この場合、他の本サービス利用者または第三者が弊社に対して責任を追及したために弊社が防御費用(弁護士報酬および訴訟費用を含む。)、損害賠償金の支払い、和解金の支払いその他の損害を被りまたは費用の支出をしたときは、利用者は、直ちに、弊社の損害および支出した費用を補償するものとします。
4. 利用者がメールの大量配信を行ったことにより、本サービスの運営に影響が生じた場合、弊社は「威力業務妨害」等による刑事告発又は損害賠償の請求を行うことができるものとします。
5. 利用者が本規約に反した行為、または不正もしくは違法な行為によって弊社に損害を与えた場合、弊社は利用者に対して損害賠償の請求を行うことができるものとします。
https://www.xserver.ne.jp/rule/rule.php
レンタル共有サーバーの契約者は、エンジニアではないケースも多いです。そのため、トラブルはすべてサーバー会社の責任である!と、身勝手な自分都合で思い込んでしまう契約者にならない様にくれぐれも気を付けましょう。
【参考】レンタル共有サーバー他社の規約
ロリポップ!レンタルサーバー利用規約 https://lolipop.jp/terms/tos/
さくらインターネット株式会社の約款 https://www.sakura.ad.jp/agreement/
レンタル共有サーバーを使うのが嫌なら
レンタル共有サーバーを使うのが嫌なら、自社の社屋や自宅に自分でサーバーを構築して、監視、運用、温度管理、物理的な損壊管理、インターネット回線保守、ハードウェアとソフトウェアのセキュリティ確保、電力安定供給(バックアップ電源)、土地の確保などを24時間365日あなたご自身でおこなってください。
レンタル共有サーバーは超絶コスパが良いという事を自覚する必要があります。
セキュリティトラブルの原因はどうやって調べるのか?
ワードプレスウェブサイトのセキュリティトラブルが起きた際、原因を突き止めて、責任が契約者にあるのか、レンタル共有サーバー会社にあるのか、トラブルが勃発して0.01秒で正確な判断をすることは熟練のエンジニアでもほぼ不可能です。
セキュリティトラブルの原因追求は、フォレンジック調査、ログ解析、その他の調査が必要です。経験豊富なセキュリティエンジニアであれば各種ログの調査だけで原因を見つけ出すことも可能ですが、レンタル共有サーバーの標準ログ管理機能は役不足であることが一般的です。
WP Activity Logプラグインなどを日常的に使うことを推奨します。
フォレンジック調査?料金?
「フォレンジック調査」とは、セキュリティトラブルが起きた時点のサーバー環境に一切の操作を加えず、Linux OS、ミドルウェア、メモリ、アプリケーション(ワードプレスなど)、各種ログ、などのデータをそのまま全部バックアップ取得して、まったく同じハードウェアとネットワーク環境でサーバーの検証環境を新たに構築し、原因追求を行う調査です。セキュリティインシデント直後のハードウェアとソフトウェアの完全保存を行い、完全な環境再現による原因追及調査と考えてください。
技術者の確保、ネットワーク環境の再現、ハードウェアとソフトウェアの再現など、かなりのお金が必要です。
レンタル共有サーバー会社も契約者も、その様なコストを負担するのは、現実的に不可能な場合がほとんどです。
フォレンジック調査ではなく、精通しているセキュリティエンジニアに依頼することでフォレンジック調査よりも安く対応できる可能性はあります。この内容については別の記事で改めてご紹介させていただきます。
フォレンジック調査の実行権限は誰にあるか?
レンタル共有サーバーの特性上、フォレンジック調査の実行権限は契約者には一切ありません。サーバーOSやデータセンターの物理ハードウェア領域までフォレンジックを契約者の権限で行うことはできません。その領域の管理は、初期の契約で契約者では出来ないことになっているためです。AWSの責任共有モデルに照らし合わせると、アプリケーション、IDとアクセスの管理、契約者のデータ のみ契約者が自由に管理できる領域です。LinuxOS、物理ハードウェア、ネットワークなどについて、レンタル共有サーバーでは契約者に何の権利もありません。
マルウェアスキャンツールは100%検知出来ない
ワードプレスがハッキングなど脅威の被害にあってしまった際、無料/有料のマルウェアスキャンツールによるスキャンを行うことがあります。しかし、マルウェアスキャンですべてのマルウェアを100%漏れなく発見することはできません。
ゼロデイ脆弱性と言われ、スキャンツールのパターンファイルデータベースに登録されていない未知のマルウェアなど、スキャンで見つけることが出来ないマルウェアがあります。
プログラムのソースコード内に埋め込まれてしまった悪意のあるマルウェアプログラムは、難読化という処理により普通のプログラムとして検知出来ない状態になっていることもあります。
一般的なスキャンツールは、HTMLとCSSとjavascriptのスキャンが基本で、php/apache/Nginx/データベース/LinuxOSまでスキャンできない事にも注意が必要です。
マルウェアスキャンでオールグリーンの結果が出たから、ハッキングされていないと判断する事は間違いです。
おすすめのマルウェアチェック方法
Google Chromeは、あらゆる無償/有償マルウェアスキャナよりも早くウェブサイトのマルウェアを発見します。さらに、グーグルサーチコンソールのマルウェア警告よりもクロームブラウザのほうが早くマルウェアを発見する場合があります。そのため、デフォルトブラウザはクロームにすることを推奨します。javascriptコンソールで怪しいリクエストやレスポンス、それらに伴う非同期処理などが無いか確認することをお勧めします。
マルウェア感染後、最短時間で発見して除去することで、グーグル検索エンジンからマルウェア感染サイトとみなされて甚大なビジネスダメージを受ける前に、問題を収束できる場合があります。
また、下記、グーグル透明性レポートにてマルウェア感染の有無を確認できます。あらゆるセキュリティベンダー各社の無償/有償スキャンツールよりもマルウェア検知時期が早いです。
https://transparencyreport.google.com/safe-browsing/search
マルウェア感染の可能性がある場合、なるべく早く取り除いて、マルウェア攻撃者からさらなる被害を被らない様にすることも大切です。
セキュリティ攻撃は犯罪
攻撃被害者は不正アクセス禁止法などのサイバー犯罪被害者です。日本であれば、警察への届出、IPA(独立行政法人情報処理推進機構セキュリティセンター)への届出などを行うことが推奨されます。最も悪いのは世界中のサイバー犯罪者です。
IPAコンピューターウイルスに関する届出について