ニュース

ロリポップ!、改ざん被害の原因は設定不備、設定変更などの対策を実施

 株式会社paperboy&co.(ペパボ)は、レンタルサーバーサービス「ロリポップ!」において発生した大規模攻撃によるWordPressサイトの改ざん被害に関して、被害拡大防止のために進めている対策の進ちょく状況を逐次報告している。

 改ざんの手法については、8月29日夜の時点で、「WordPressのプラグインやテーマの脆弱性を利用し、不正なファイルがアップロードされました。またそのファイルを利用し、wp-config.phpの設定情報が抜き出されることにより、データベースの書き換えが行われ、WordPressサイトが改ざんされました」と説明していた。

 しかし8月30日夜、「その脆弱性を侵入経路として、『当社のパーミッションの設定不備を利用』されたことが原因であることを確認しております」と発表。「本件の改ざんは、WordPressの設定ファイルであるwp-config.phpからデータベース接続に必要な情報を抜き出して情報を書き換えられたもので、それ以外のデータに影響はございません」と説明するに至った。

 被害拡大防止のための対策としては、ペパボは9月1日夜までに、「サーバー上にある全てのWordPressで使用しているデータベースのパスワード変更および該当するデータベースを使用しているCMSの設定ファイルの記述変更は完了」したとしている。

 あわせて、同じく9月1日夜までに、シンボリックリンクの設定変更も完了した。「サーバーの設定を変更しFollowSymLinksを無効にしました。また、SymLinksIfOwnerMatchを有効にするため、ユーザーごとに.htaccess内の記述の置換を実施いたしました」としている。

 このほか、サーバー上にある全ファイルを対象にウイルススキャンを実行。不正ファイルを検知した場合はパーミッションを変更し、該当ファイルへアクセスできないようにするとともに、不正ファイルが再度アップロードされないよう、ユーザーのサーバー領域のWAF(Web Application Firewall)を有効化。9月2日夕方までに約60%の進ちょく状況だと報告している。

 こうした対策を進める一方で、ペパボでは8月31日、改ざんされたサイトの復旧方法についての案内を告知した。

 対象となるサイトとしては、「サイトタイトルに『Hacked by Krad Xin』が含まれている」「サイトのキャッチコピーが『BD GREY HAT HACKERS』になっている」「サイトが文字化けしている」という3項目を挙げている。

 なお、改ざんされていた期間や改ざん内容、改ざんサイトを閲覧した際の影響などについては今のところ説明されていない。まずはユーザーの被害拡大防止を最優先に全社を挙げて取り組んでいる最中だとしている。

(永沢 茂)