クロスサイトコンタミネーション(クロスサイト汚染)とは何か

クロスサイトコンタミネーション(クロスサイト汚染)とは?1アカウント内に複数のwebサイトを運用する危険性について解説しています。

ほとんどのレンタルサーバーでは、1契約で(つまり1アカウントで)複数のドメインを登録し複数のwebサイトを運営することができます。

一般にマルチドメインと呼ばれていますが、コストを抑える目的からweb制作会社であっても1アカウント内に複数の顧客のwebサイトを展開しているケースが少なくありません。

それぞれにサブFTPアカウントを割り振るなどしているケースがありますが、あくまでアカウントとしては一つです。

また、実運用されている本番環境、そしてテスト環境、別途リニューアル用の開発をしている開発環境など、複数の環境が一つのサーバーに共存している場合もあります。

マルチドメインサービスは非常に便利なものではありますが、同時に適切な管理がなされない場合、大きな損失を発生させます。

クロスサイトコンタミネーションとは

クロスサイトコンタミネーション(Cross-Site Contamination)とは、このようにサーバー内に複数のwebサイトがあった場合にこれらがまとめて汚染(改ざん等)されてしまうことです。クロスサイト汚染と呼んでもいいかもしれません。

当社取り扱いのケースでよくみられるのは、「あまり更新もされておらず、なんとなく存在している」webサイトを入り口としてその他のたとえば「主力として頻繁に更新されている」webサイトを含めまとめて改ざんされてしまうケースです。

複数のwebサイトを運用していると、中には最後いつログインしたかも覚えていないといった「なんとなく存在している」webサイトがあったりします。

当然アップデートもされておらず、脆弱性が放置されてしまうことになります。

主力となっているメインのwebサイトには頻繁にログインし、アップデートも適宜行われているかもしれません。

場合によってはそのwebサイトのみ保守契約なども行っているかもしれません。

しかし、同じアカウント内にアップデートされていない古いWordPress等のCMS、古いプラグインの利用などがあれば、そうしたアップデートも保守もメインサイトを守る役割を果たせないことになります。

サーバー内にほかのWordPress(CMS)やスクリプト群があるかの確認

WebRepairではまず最初に、サーバー内にほかのWordPress(CMS)やスクリプト群があるかの確認を行います。

これはクロスサイトコンタミネーションのリスクを把握するためです。

あなたが復旧したいと思っているWebサイトはたった一つかもしれません。改ざんされたと思われるWebサイトはそれだけかもしれませんが、実際には改ざん被害が目に見えるようになったのがその一つであるだけです。

もしほかにもWordPress等のCMSや別のスクリプト群が存在するなら、あなたが復旧したいと思っているWebサイト以外もかならずチェックしなければなりません。もしくはサーバー内から削除する必要があります。

つまり、コストを抑えるマルチドメインのサービスも、アカウント内のすべてのwebサイトについて適切な管理をしなければ被害規模は膨らみより大きなコストがかかるということです。

一つのwebサイトだけ復旧対応はできない

さて、クロスサイトコンタミネーションという名前は多くの改ざん被害復旧サービスでは見かけないものですが、海外の復旧サービスでは入口として取り組んでいます。

また国内の復旧事業者も、クロスサイトコンタミネーションという名前は知らないかもしれませんが「複数サイトある場合は被害が横展開する」という事実自体は経験上知っているはずです。

ところが複数のwebサイトがあってもWordPressのみを復旧し、ほかのCMS(Movable Type,Drupal等)や問い合わせ系のフリースクリプト、HTMLファイルで構成された別サイトは無視するといった対応から再被害に至るケースが持ち込まれています。

クロスサイトコンタミネーションは復旧事業者にとって無視できないリスクであり、一部(つまりWordPressのみ)を復旧するというのは不誠実と言わざるを得ません。単純に初期見積もりを安価にするために1サイトのみで見積もるケースもあるようで、あとから追加費用で他のWordPressも復旧が必要と言い出すケースもあるようです。

WebRepairでは原則として複数のCMSやサイト、スクリプト群がある場合、すべてを調査するお見積りを提出します。

どうしても1サイトのみということであれば、別のサーバーへの移転という形でお引き受けしています。