読者です 読者をやめる 読者になる 読者になる

好奇心 x 探求心 = やじうまゴコロ

だって気になるんだから仕方ないじゃない!?

新規上場企業のホームページのURLに「/admin」を付けてみた結果

日常生活

f:id:drpoteco:20160706214644j:plain 企業のコーポレートサイトにブログツールでお馴染みのWordPressを利用するケースって増えています。様々なテンプレートが用意されていますし、カスタマイズも簡単ですからね。

ただ世界中で使われているツールだからこそ狙われる可能性も大きいと言うことです。
株式を上場している一流な会社でも「あれ?見えちゃってますよ。」な話です。

とりあえず/adminしてみた

2016年1月から6月の半年間に株式を上場した企業の一覧です。

www.jpx.co.jp

全部で44社ありました。
株式を上場するくらいですから当然各社共にホームページを持っています。
IR情報を公開する必要がありますからね。

そんな各社のホームページのURLのお尻に「/admin」を付けてアクセスしてみました。
例えば、先ほどの日本取引所グループのホームページであれば
URLは「http://www.jpx.co.jp」なんで「/admin」をくっつけて
http://www.jpx.co.jp/admin」ですね。

実際にアクセスしてみると「ページがみつかりません」って表示されます。そもそもWordPressを使っていないのか、ちゃんとページを隠しているのかわかりませんが期待通り?のページ表示です。

ログイン画面が見えちゃった

「/admin」をくっつけてみた時に「あれ?WordPressのログイン画面がみえちゃった」という企業が8社ありました。
その他にもホームページのコンテンツ管理を行うツール(いわゆるCMS)のログイン画面が見えてしまった企業が3社ありました。

あと、どうでもいいですが(株)アトラエはヘテルムのレンタルサーバだったり、(株)農業総合研究所お名前.comのレンタルサーバを使っていました。

WordPressログイン画面

WordPressのログインが見えちゃった新規株式上場企業
※HPのURLのお尻に「/admin」を付けてください

上場日 会社名 コード 市場区分 HP
2016/3/11 (株)フィット 1436 マザーズ http://www.fit-group.jp
2016/3/14 (株)LITALICO 6187 マザーズ http://litalico.co.jp
2016/3/16 昭栄薬品(株) 3537 JQスタンダード http://www.shoei-yakuhin.co.jp
2016/3/18 (株)フェニックスバイオ 6190 マザーズ http://phoenixbio.co.jp
2016/3/31 (株)PR TIMES 3922 マザーズ http://prtimes.co.jp
2016/6/15 (株)ホープ 6195 マザーズ http://www.zaigenkakuho.com
2016/6/17 (株)やまみ 2820 JQスタンダード http://www.yamami.co.jp
2016/6/22 ジェイリース(株) 7187 マザーズ https://www.j-lease.jp

CMSログイン画面

どこのサービス化分からないけどCMSのログインが見えちゃった新規上場企業
※HPのURLのお尻に「/admin」を付けてください

上場日 会社名 コード 市場区分 HP
2016/3/24 (株)ウイルプラスホールディングス 3538 JQスタンダード http://www.willplus.co.jp
2016/3/31 (株)エボラブルアジア 6191 マザーズ http://www.evolableasia.com
2016/6/27 (株)キャリア 6198 マザーズ http://careergift.co.jp

ログイン画面が見えたからナニ?

実際にログイン画面が見えたってログインできなければ何もできないわけです。
例えばこのブログのはてなだってログイン画面は見えます。見えなきゃログインできなくて困りますから。

ログイン - はてな

このような一般コンシューマ向けのサイトに関してはID、パスワードの管理は個人に託され、特にパスワードは定期的に変更する必要があります。
またパスワードであれば英数文字だけではなく特殊文字、大文字小文字なんかを織り交ぜないとダメと言った規則があるサイトもありますね。

しかし、企業サイトはどうでしょうか?
もしログインのID、パスワードが見破られてしまいサイトが改ざんされ会社に不利益な情報がアップされたりしたら
そもそもそんなゆるゆるなセキュリティポリシーの会社って信頼されるのか疑問ですよね。

おそらくハッカー達の手にかかればID、パスワードなんてあっという間に解読されてしまうでしょうね。
ボクがログインしようとしても無理でしょうけど。

最後に

ちょっとWordPressを知っている人であればログインのURLを変えることはたやすいと思います。
インストールしたままの状態だとWordPressのログインページは「wp-login.php」なのでこれを使えないようにするためのプラグインを開発してくれた方がいます。

elearn.jp

あとはログインページにBasic認証かけるとかも有効でないでしょうか。
※HPのURLのお尻に「/admin」を付けてください

上場日 会社名 コード 市場区分 HP
2016/3/18 ヒロセ通商(株) 7185 JQスタンダード http://hirose-fx.co.jp

一番良いのは定期的にパスワードを変えることだとは思いますけど。

Copyright© 好奇心 x 探求心 = やじうまゴコロ All Rights Reserved.