2014年2月12日に公表されたTwigmoサーバー攻撃に伴うセキュリティ対策

カテゴリー : セキュリティ
2014年02月12日 (水)

2014年2月12日、Twigmoサービスを運営しているTwigmo.comよりユーザー向けに以下の内容のメール(英語)が送信されました。


(1) Twigmo.comが管理しているサーバーが第三者の攻撃を受け、

  • Twigmoを利用しているユーザーのCS-Cartの管理画面URL
  • CS-CartからTwigmoに接続する際のEメールアドレス
  • CS-CartからTwigmoに接続する際のパスワード(不可逆暗号化済み

が漏洩した可能性がある。
お使いのCS-Cart管理画面へのアクセス情報の漏洩ではありません。


(2) パスワードは不可逆暗号化済みのため漏洩しても直ちに悪用される可能性はないが、念のため全ユーザーのパスワードをリセットした。
そのため、TwigmoユーザーはTwigmoコントロールパネルへのログインパスワードをリセットする必要がある。


(3) セキュリティ強化のため、

  • CS-Cart管理画面へのログインパスワード変更
  • CS-Cart管理画面ファイルのファイル名変更

を強く推奨する。


CS-CartにおいてTwigmoアドオンをご利用中のお客様はお手数ですが以下の対策を実施してください。


STEP01. Twigmoへのログインパスワードの変更 (1)

こちらにアクセスのうえ、

 Email
フィールドに
 Twigmoコントロールパネルへのログインに使用しているEメールアドレス
を入力し、
 RESET PASSWORD
ボタンをクリックしてください。

STEP02. Twigmoへのログインパスワードの変更 (2)

STEP01で入力したメールアドレス宛に
 Twigmo Mobile Service: Password recovery
という件名のEメールが届きますので、記載されたURLをクリックしてください。

STEP03. Twigmoへのログインパスワードの変更 (3)

Twigmoに関するユーザー情報編集ページが開きますので、新しいパスワードを入力して
 SAVE
ボタンをクリックしてください。

STEP04. CS-Cart管理画面パスワードの変更 (1)

お使いのCS-Cartの管理画面にログインし、
 お客様 -> 管理者
にアクセスします。

STEP05. CS-Cart管理画面パスワードの変更 (2)

管理者名をクリックすると管理者情報の編集ページが表示されるので、新しいパスワードを入力して
 変更内容を保存
ボタンをクリックしてください。

STEP06. CS-Cart管理画面ファイル名の変更 (1)

サーバー上のCS-CartがインストールされたディレクトリにFTPソフトウェアなどでアクセスします。
管理画面アクセス用のファイル(通常は admin.php)の名称を第三者から類推されにくいものに変更してください。
例) vs1EMs3h.php

STEP07. CS-Cart管理画面ファイル名の変更 (2)

サーバー上のCS-Cartがインストールされたディレクトリにある
 config.local.php
をお使いのPCなどにダウンロードします。

STEP08. CS-Cart管理画面ファイル名の変更 (3)

STEP07でダウンロードしたファイルをテキストエディタなどで開き、
 $config['admin_index']
に割り当てられた値をSTEP06で変更したファイル名に変更します。

 例)
  $config['admin_index'] = 'admin.php';
 を
  $config['admin_index'] = 'vs1EMs3h.php';
 に変更

 ※ CS-Cartの管理画面にアクセスする際には変更後のファイル名を指定してください。
  例)https://example.com/shop/vs1EMs3h.php


以上でセキュリティ対策は完了です。