Wordpressを踏み台にしてグーグルアカウントが不正アクセスされた!?
今朝ちょっと不思議なことが起きたので、ブログに書いておきます。
朝の7時頃に私のスマホにGoogleからメールが届いたんです。
そこには「他のユーザーがあなたのパスワードを使用しました」というタイトルで、不正ログインをブロックした旨が書いてありました。
実はこのメール、大変ヤバい通知みたいで、私のアカウントがパスワードを突破されて乗っ取られる直前だったところを、不審に思ったグーグルがブロックしてくれた、ということらしいです。
最初はフィッシングメールかな?と思って、念のためにのPCのブラウザからグーグルにログインして確認してみたところ、赤い文字で「ビー」っとアラートっぽいのが表示されてたので、どうやらこの事実に間違いはなさそうです。
急遽グーグルのパスワードを変更して、二段階認証とかいうのも導入して、セキュリティをガチガチに固めました・・。
***
グーグルのメール本文に書いてあるリンク先には、攻撃者のIPアドレスが書いてありました。
そのアドレスを調べて見ると、私の持っているサーバのIPアドレスであることが分かりました。
この意味をよく考えると、ちょっと恐くなってきたんですよね・・。
「私のサーバーが乗っ取られて、なんらかの方法でグーグルのパスワードを知られてしまって、そこを踏み台にしてグーグルに不正アクセスされた?」
という可能性が頭をもたげたんです。
うぉっ・・こわっ、夏の怪談ですねこれは・・。
急いでサーバーに不審なログがないか確認してみたんですが、特にアタックなどをされた形跡はなく、ログイン履歴も自分のものしかありませんでした。どうやらサーバーは乗っ取られてないみたいでした・・。
***
もう一つありそうな可能性は、ワードプレスの乗っ取りです。
何かワードプレスの「脆弱性」みたいなものを突かれて、グーグルにアクセスするような悪いコードを実行されたのかもしれません。
(私はアホなので、グーグルのパスワードとワードプレスのパスワードを一緒のものを使っていたので、この可能性は大いにありそうです・・)
サーバーのログを見ても外部から変なアクセスがあった痕跡はないので、WPの中にいれてるプラグインが悪さをした可能性があります。
私は有名な定番プラグインしか入れていないのですが、この中に変なコードが紛れ込んでるものがあるというのでしょうかね・・?
自分が入れているプラグインのコードを一通りざっとgrepして精査してみたのですが、グーグルにログインしにいくような変なコードは見当たりませんでした。
(まぁこんなざっくりいい加減な調査では分かりっこないと思いますが・・)
仕方がないので
・ワードプレスのバージョンを最新にアップデートする
・ログイン機能を強化するプラグインを入れてセキュリティを強化する
という暫定対処をすることで、一旦この場を収めることにしました・・。
謎ばかりが募って特にオチもないようなブログを書いてしまってすいません。もう一度同じことが起きたら、今度はちゃんと調査するつもりです・・。