ペパボ、「ロリポップ！」改ざん原因など総括 - 自動導入システムなどに起因、WPに問題なし

「ロリポップ！レンタルサーバー」において、改ざん被害が多発した問題で、運営会社のpaperboy＆co.（ペパボ）は、くわしい経緯や原因などを総括し、利用者へ謝罪した。

今回の問題は、同サービスにおいて、8月にWordPressを利用する一部顧客で大量の改ざん被害が発生したもの。確認されただけで改ざんは8438件にのぼる。

同社は、今回の改ざん問題について、インストール作業をサーバ側で自動的におこなう「簡単インストール」で配布したパッケージの不備とディレクトリパーミッションの設定に不備があり、被害が拡大したと説明。WordPressに問題があると誤解させる告知があったことも含めて謝罪した。

具体的には、「簡単インストール」により「WordPress」を導入できるものの、セットアップが行われずにインストールが完了していないケースがあり、それらが狙われて管理者権限を第三者に取得されたと説明した。

さらにサーバ構成上の不備を悪用するスクリプトがサーバへ設置され、スクリプトによりデータベースの接続情報が奪われ、データベースのデータの書き換えが可能になったという。

またディレクトリパーミッションの設定ミスや、旧来のパス構造をそのままサーバで利用できるよう「FollowSymLinks」を有効としており、他利用者のデータを参照できることも改ざんが拡大した原因であるとしている。

当初改ざんの原因を、「ブルートフォース攻撃」や「WordPressのテーマやプラグインの脆弱性」とした点については、実際に不特定多数のユーザーが攻撃に遭っており、脆弱性が悪用されるケースも確認していることを理由に挙げ、改ざんが発生した同じタイミングで検知していたと釈明した。

同社では、被害に遭った利用者に対して引き続きデータの復元などについてアナウンスを行っていくほか、相談にも応じていく。また被害について警察へ相談しており、警察などと連携し、行為者の特定などをはじめ、厳正な対処を行っていくとしている。

（Security NEXT - 2013/09/11 ）ツイート