いろいろあったロリポップですが、ことの詳細は、もしお暇ならこちらをダウンロード(かたっぱしから詰め込んだのででかいです。)してごらんいただくとして、とりあえず、ちょうど契約更新期日が近かったので、更新せずに他へ移りました。
ロリポップさん、さようなら。
基本的に、人のやることに間違いはつきものであるという考えなので、ハッキングされたことは大きな理由ではなく、その際の経営者の態度が気に入らなかったのと、区切りが良かったのと、サーバー移転とか、久しぶりにやってみたかったのと、で、こういう結論になりました。
この経営者は、最終的に謝罪しているふりをしながら、結局、炎上したのは他人のせいであると開き直っているだけです。
これからは、GMO関連会社はなるべく避けて通るようにするであろうことは間違いないです。
レジストラも、次の契約更新時には移管するつもりです。
ちなみに、某所に書かれていたGMOがらみのレンタルサーバー一覧は以下の通り。
@WAPPY
@YMC
CORESERVER
e-革命
heteml
interQ OFFICE
VALUE SERVER
WADAX
WEBKEEPERS
お名前.com レンタルサーバー
かんたんサーバー
ドメインキング
ラピッドサイト
ロケットネット
ロリポップ!レンタルサーバー
GMOがらみへ移転しないようにご注意くださいw。
最後なので一応書いておくと、ハッキングを知った直後に考えたのは、「データベースを書き換えられたみたいだから、とりあえずパスワードを変えとこう。」ということですが、何とパスワードは変えられない仕様です。
直後の問い合わせに対するサポートからの意味不明な返答からも、変えられないことだけは確かなようでした。
しかも、いったんログインしてしまえば、データベースのユーザー名もパスワードも見えていて、しかもそのどちらも勝手に決められたものなので、認証の意味がまったく無いという、まさにクソ仕様なのです。
これは現在も変更されていません。
ロリポップの前のサーバーがどうだったか覚えてませんが、少なくとも今回新しく変わったサーバーでは、ログイン時に、ユーザー名、パスワード、データベースへのアクセスにユーザー名、パスワードの2度の認証が必要です。最初のユーザー名以外はすべて後からユーザーが自由に変更可能で、私の場合では、ユーザー名に続いて16桁の文字列を3回、天文学的な確率でないとデータベースまでたどり着きません。
ロリポップの場合は、最初のパスワードが16桁ですが、あとは8桁で、しかもサーバー側がその気が無ければ何年でも同じパスワードのままというわけです。
今回の件が無ければ契約時にデータベースを作成してから一度もパスワードの変更が無かったことになります。
データベースを一度削除して作り直せばいいのかもしれませんが、それをわざわざユーザーに強いる仕様の方がおかしいのは明らかです。
ま、もう無関係なのでいいです。
移行の経過はというと、悠長に構えていたら、思ったよりもネームサーバーの書き換え後の移行がスムースだったので、いったいどっちのサーバーにつながっているのかあせって少し混乱したのと、.htaccessをそのまま持ってきたらエラーでぜんぜんつながらなかったのとで、珍しくサーバーのエラーログまで掘ったりして、とっても楽しかったです。
なにより、一度、サーバー移転を経験しておけば、何かあったときに自力で復旧するには何が必要か良く分かるので、まだロリポップを借りている人には、いい機会なので移転をお勧めします。
移転まではしなくても、どこかを借りてお試し期間中に移転ごっこを試してみるのは面白いかもです。
