弊社ホームページにおいて、2014年12月6日11時~14時のあいだ、第三者からの不正アクセスによりサイトが改ざんされていた事が判明いたしました。ご利用頂いておりますユーザの皆さまにおかれましてはご迷惑をお掛けいたしまして、深くお詫び申し上げます。
なお、現在は被害を受けたサーバは復旧作業を実施済みです。ご利用ユーザーの皆さまの個人情報流出等は、現在のところ確認されておりません。
- 被害対象サイト/コンテンツ
- URL:http://gihyo.jp
改ざん内容とその影響
サーバの中身を入れ替えられ、外部のサイトにリダイレクトされるように設定されていた。
リダイレクトされていたサイト(アクセスしないようご注意ください)
- www.koushin-lawfirm.net
- live.livelistingreport.com
現在把握している改ざんされていた可能性がある期間
2014年12月6日 11:00~14:00
経緯説明と改ざん検知後の対応
- 12月5日11時過ぎ、弊社契約管理会社のドメイン上にあったフィッシングサイトに引っかかってしまい、その直後、コントロールパネルに不正アクセスされてしまった。
- 12月5日11時10分過ぎからgihyo.jpのサーバがダウン。
- 検知後、管理会社へ報告。
- 12月5日13時20分頃サーバ復旧。その後、管理会社の確認により収束したと判断。
- ところが、別のログインルートがあり、その点を管理会社に報告・確認してはいたものの、結果的に双方の認識の相違により処置されないままとなっていた。
- そのため、別ルートがふさがれないままになっており、12月6日11時過ぎ、OS入れ替え/Webサイト改ざんをされてしまった。
- その後、管理会社への連絡、対応を行い、12月6日14時、不正アクセスへの対処完了。その後、サーバ復旧作業を始める。
- 12月6日19時27分、サーバ本復旧作業に入り、12月7日時点で完全に復旧。
※経緯詳細についてはこちらをご覧ください。
ご利用のユーザーの皆さまへのお願い
上記期間中に、弊社URLサイトにアクセスされた可能性があるユーザーの皆さまにおかれましては、誠にお手数ですが、お手持ちのセキュリティソフトを最新の状態にし、不正なプログラムの感染確認・駆除の実施をお願い申し上げます。
本件につきましては、ご迷惑及びご心配をお掛けいたしましたことを重ねて深くお詫び申し上げますと共に、今後はさらに対策・監視を強化し万全を期して運営して参ります。
お問い合わせ
本件に対する問い合わせは、こちらのフォームをご利用ください。
- お問い合わせフォーム
- URL:https://gihyo.jp/site/inquiry/others
発生した状況について
弊社が利用している、さくらのVPSのコントロールパネルのアカウントを乗っ取られ、複数台あるうちの一台のサーバのOSを入れ替えられました。入れ替えられた後のサーバでは、第三者サイトへリダイレクトするように設定されていました。
原因
12月5日にsakura.ne.jpドメイン上にホストされたフィッシングサイトのURLが記載されたメールがさくらのVPSの弊社アカウントに登録されたメールアドレス宛に送られ、httpsなsakuraドメインであること、ほかのサービスではあまり使用していないメールアドレス宛であること(さくらのVPSより漏洩したということではありません)から、迂闊にもヘッダの確認をせずにアクセスしてしまいました。
何が起きたのか
攻撃者は最初、サーバの乗っ取りを画策しましたが、さくらのVPSではコントロールパネルからサーバのrootパスワードを設定できないことなどからサーバの乗っ取りが出来ず、その代わりにOSを入れ替えることを画策しました。
なぜそれがわかるのか?
偶然、弊社担当が新サービスのリリース前でサーバに貼りついており、異変にいち早く気がつき、コントロールパネル経由でコンソールの状態を確認できる環境にあったため、攻撃者の操作を目撃することができました。
コントロールパネルの仕様で、セッションが有効な間はパスワードを変更されていてもログインできたため、一時攻撃者とサーバの取り合いを演じていました(5日のサービス中断障害)。
なぜ6日の乗っ取りを防げなかったのか?
さくらのVPSのコントロールパネルにはアカウントのログインのほかにサーバのIPアドレスをIDとしたログイン方法があり、こちらのパスワード変更が完了できていなかったために攻撃者の再侵入を許す結果となりました。
このルートには初日より気がついており、複数回パスワード変更をトライしましたがエラーメッセージが表示される状態であったため、さくらインターネットの担当者に対応を依頼しましたが、結果的に混乱した状況で双方の認識に相違が生じ、処置されないままになっていました[1]。
攻撃者は再侵入後すぐにOSを入れ替えており、サービスが中断されたため弊社も把握するところとなりました。
なぜ復帰に時間がかかったのか(特にサーバを止めるまで)
実際には1台のサーバのみが乗っ取られていたのですが、当時、弊社が契約中のほかのサーバも攻撃可能な状態であると認識しており、迂闊に攻撃者を刺激しないような判断を行いました。
12時頃から、不審なサイトへリダイレクトされるようになり、DNSをほかのサーバへ向けることで対処しようとしましたが、TTLの関係であまり効果がありませんでした。
情報漏洩の危険性は?
さくらのVPSでは、サーバイメージのダウンロード等はありません。
今回、攻撃者はサーバへのログインには失敗しており、コンソール操作も担当により把握されていることから、漏洩はないと思われます。