• 赤色のリンクは、まだ日本語Codexに存在しないページ・画像です。英語版と併せてご覧ください。(詳細

このWikiはいつでも誰でも編集できます

ロリポップサイト改ざん関連情報 (2013年8月)

提供: WordPress Codex 日本語版
移動先: 案内検索

この投稿は、2013年8月、サイト名に「Hacked by…」といった文字列が含まれるなどサイトの内容が改ざんされるハッキング被害に遭った方を対象とする情報です。 現在確定している最新情報と公式発表の内容のみを掲載しています。

被害概要

現在の報告では以下のような被害が報告されています。

  1. 文字コードの変更
  2. サイトタイトルの変更
  3. スクリプトを含むウィジェットの追加

対策

2013/08/30 19:13 の発表で、原因について

改ざん手法を「WordPressのプラグインやテーマの脆弱性を利用」として説明を行っておりましたが、その脆弱性を侵入経路として、「当社のパーミッションの設定不備を利用」されたことが原因であることを確認しております。

との発表がありました。

  • プラグインとテーマを最新のものにアップデートする(WordPress 公式ディレクトリ以外からインストールしたものについては、最新版でもセキュリティ上の安全が確認されていない場合がありますのでご注意ください)
  • wp-config.php ファイルのパーミッションが 400 に変更されているか確認する
  • .htaccess のパーミッションを 404 に変更する

また、データベースおよびファイルのバックアップを取っておくことをおすすめします。

以下のスレッドでフォーラムボランティア有志やユーザーの皆さんによる情報が寄せられています。個人の環境に依存するものや暫定的な情報もありますので、あくまで参考という形で情報の提供・助け合いに利用してください。 http://ja.forums.wordpress.org/topic/24503/

ハッキングからの復旧に関する一般的な情報については、「FAQ/ハッキング・クラッキング被害」も参考にしてください。

ロリポップ公式発表

ロリポップ側からの公式発表(抜粋)は以下の通りです。引き続きロリポップ公式ニュースのトップページおよび公式 Twitter アカウント(@lolipopjp)での情報更新が予定されていますので、最新情報全文についてはそちらをご覧ください。
また、ユーザーの方は「Web サイトが改ざんされてしまったら?」ページを読んで追加の対応を行うことをおすすめします。

「お知らせ」発表

原文: http://lolipop.jp/info/news/4149/ (2013/08/29 22:42 追記からの一部引用)

継続対応しております「ロリポップ!レンタルサーバー」への攻撃に関して、現時点で調査により判明した事実および対策についてご報告いたします。

[対象のお客様]
「ロリポップ!レンタルサーバー」のユーザーサーバーにおいてWordPressをインストールされている一部のお客様(8,438件)

[現在までに判明している被害状況]
WordPressのプラグインやテーマの脆弱性を利用し、不正なファイルがアップロードされました。
またそのファイルを利用し、wp-config.phpの設定情報が抜き出されることにより、データベースの書き換えが行われ、WordPressサイトが改ざんされました。

[対策について]
1)サーバーの設定を変更しセキュリティを確保するため、やむを得ずCGIやPHPで旧来のフルパス指定を利用できないように変更いたしました。なお、この変更の影響によりプログラムが正常に動作していないお客様のアカウントについては順次対応を行い、対象となるお客様には完了後メールにてお知らせをいたします。

2)外部からの攻撃を防ぐためにロリポップ!ユーザーサーバー上にあるすべてのwp-config.phpのパーミッションを「400」に変更しました。(8月29日 16時13分完了)

3)ロリポップ!ユーザーサーバー上にあるすべてのファイルに対してウィルススキャンを実行し、不正なファイルを検知した場合には、アクセスができないようにパーミッションを「000」へ随時変更します。

4)3)において不正なファイルを検知したお客様のサーバー領域へ再度不正なファイルが仕込まれないようにWAF(Web Application Firewall)を随時有効にして参ります。

一刻も早く解決するよう最優先で対策にあたっておりますが、データ量が膨大なため、完了に時間を要することが想定されております。

原文: http://lolipop.jp/info/news/4149/ [2013/08/30 04:13 追記] からの一部引用

[対策について]
2013/08/29 22:40 にご報告した対策に加えて、お客様のデータベースの安全性を確保するため、ロリポップ!レンタルサーバー上にある全てのWordPressで使用しているデータベースのパスワード、および該当するデータベースを使用しているCMSの設定ファイル上のパスワードの書き換えを行います。

原文: http://lolipop.jp/info/news/4149/ [2013/08/30 07:05 追記] からの一部引用

昨日、サーバーのセキュリティを確保するため、やむを得ずCGIやPHPで旧来のフルパス指定での利用を停止いたしましたが、同等のセキュリティを維持した状態で旧来のフルパス指定のままご利用いただけるようになりました。

原文: http://lolipop.jp/info/news/4149/ [2013/08/30 19:13 追記] からの一部引用

「ロリポップ!レンタルサーバー」への攻撃に関し、状況のご報告が予定より遅れ申し訳ございません。 現在も先にご報告させていただいた各対策を順次進めております。

[これまでに判明している状況] 2013/08/29 22:40 時点でのご報告において、改ざん手法を「WordPressのプラグインやテーマの脆弱性を利用」として説明を行っておりましたが、その脆弱性を侵入経路として、「当社のパーミッションの設定不備を利用」されたことが原因であることを確認しております。

被害拡大の防止を最優先としており、本件の発表が今となりましたこと深くお詫び申し上げます。

本件の改ざんは、WordPressの設定ファイルであるwp-config.phpからデータベース接続に必要な情報を抜き出して情報を書き換えられたもので、それ以外のデータに影響はございません。先般お知らせしておりました、データベースのパスワード変更はこちらに関連するものです。重ねてご報告いたします。

「メンテナンス情報」発表

http://lolipop.jp/info/mainte/4151/ (今回の件との関連性についての直接の言及はありませんが、セキュリティ強化のための緊急メンテナンスとのこと)

現在実施しております緊急メンテナンスにつきまして、.htaccessでご利用いただけるオプションに対して以下の変更が完了いたしましたのでお知らせいたします。  ・FollowSymLinksのご利用ができなくなりました。  ・SymLinksIfOwnerMatchをご利用いただけるようになりました。

「改ざんされたサイトの復旧方法」発表

http://lolipop.jp/info/mainte/4152/

【対象のサイト】
・サイトタイトルに「Hacked by Krad Xin」が含まれている
・サイトのキャッチコピーが「BD GREY HAT HACKERS」になっている
・サイトが文字化けしている

復旧方法の詳細は、http://lolipop.jp/info/mainte/4152/ をごらんください。

経緯と対策についての発表

http://lolipop.jp/info/news/4149/ への追記として、2013/09/09 20:42 にこれまでの経緯とロリポップ側の行った対策についての説明が公開されています。

■一連のお知らせに関する訂正とお詫び

・WordPress に瑕疵があるような告知になっていた点につきまして

今回の原因につきましては、上記の通り簡単インストールの仕様とサーバー側の設定不備が改ざんの主な要因となっております。

改ざんの被害にあわれたユーザー様に対しましては、引続きデータの復元などを含めご案内させていただいております。本件に関してのご相談などにつきましては、こちらのお問合せフォームよりご連絡ください。

本件につきましては所轄警察署に被害状況ならびに今後の対応について相談しております。今後もサイトの改ざん、攻撃等に対しては、警察等関係機関と連携し、行為者の特定を含め、厳正な対処を行っていく所存です。

最後に、現在提供を停止している簡単インストール機能につきましては、今回の改ざんの原因となったパーミッションの設定と未インストール状態で残る部分を改善した後に再開いたします。本件につきましては、弊社といたしましても真摯に受け止め、安心してお使いいただける環境を提供できるようセキュリティ関連の対策や体制の強化をおこなって参ります。

参考ページ