平素はロリポップ!をご利用いただき誠にありがとうございます。

先日、当サービスが海外からの攻撃を受け、
WordPress をご利用のユーザー様のサイトが
改ざんされる事案が発生いたしました。

現在調査および対策は完了しており、
対策完了後の新たな被害は確認されておりません。

今回の件におきましては、
簡単インストールで配布していたパッケージの不備と
サーバー側のディレクトリパーミッションの設定が
不適切であったことにより、
改ざんの被害が拡大してしまいました。
ユーザー様をはじめとする関係者の皆様に
多大なるご迷惑とご心配をお掛け致しましたこと、
また、8月28日の発生から正確な被害状況の確認や対策に、
お時間を要してしまいましたことを
重ねてお詫び申し上げます。

今回の第三者によるユーザー様のサイト改ざんに関して、
これまでの経緯と実施した対策についてご報告いたします。

—————————————————————
■発生した事象
—————————————————————
ロリポップ!のサーバー上にインストールされた WordPress を
利用して作成された一部のユーザー様のサイトにおいて、
改ざんの被害が発生いたしました。
改ざんの被害にあったサイトでは、下記のいずれかの事象が
確認されております。

・ 今回の攻撃によるサイト改ざん内容の特徴 
  サイトタイトルに「Hacked by Krad Xin」が含まれている
  サイトのキャッチコピーが「BD GREY HAT HACKERS」になっている
  サイトが文字化けしている

・同様の改ざんを確認している対象件数
  8,438 件

 ※サービスに登録されている個人情報にアクセスされた形跡はなく、
  情報の流出はございません。

—————————————————————
■原因
—————————————————————
・改ざんの原因

  簡単インストールを利用して設置された WordPress において
  インストールが完了していない WordPress が狙われ、
  WordPress の管理者権限を第三者に取得されたことで、
  サーバー上にサーバー構成上の不備を悪用するスクリプトが
  設置されました。
  また、wp-config.php のパーミッションが 644 だったため
  設置されたスクリプトにより、データベースの接続情報の取得と
  データの書き換えが可能な状態となっておりました。

・改ざんが拡大した原因

  サーバー側のディレクトリパーミッションが
  不適切だったことと、FollowSymLinks の設定を
  有効にできる状態であったため、同一サーバー上のユーザー領域を辿り、
  他のユーザー様の wp-config.php の内容を参照し
  データベースの更新を実行することで改ざんの被害が拡大しました。

上記の事象と原因に関して、
被害の拡大を防ぐため以下の対策を実施いたしました。

—————————————————————
■実施した対策
—————————————————————
【8月28日~29日実施】
・原因調査および対策の検討

【8月29日実施】
・データベースの接続情報が外部から取得されないようにするための対策
  wp-config.php のパーミッションを変更いたしました。

・未インストールの WordPress の管理者権限を
 第三者に取得されないための対策
  install.php のパーミッションを変更いたしました。

【8月30日~9月1日実施】
・不正に取得されたデータベースのアカウントを利用して
 書き換えなどをおこなわれないようにするための対策
  対象ユーザー様のデータベースパスワードを変更しました。
  同時に、ご不便が生じないよう、
  ユーザー様がご利用の CMS の設定ファイル内に記述されている
  データベースパスワードも併せて変更いたしました。

・同サーバー内のユーザー領域のディレクトリを辿れなくするための対策
  サーバー側のディレクトリパーミッション設定を適切に変更しました。
  サーバー側の設定変更により FollowSymLinks の機能を停止しました。

・さらなる被害の増加を防ぐための対策
  簡単インストールの一時停止をおこないました。
 【8月29日~9月5日】
  全サーバーのウィルススキャンの実行とマルウェアが確認された
  ユーザー様の WAF を有効にしました。

本件につきまして、経緯に関する説明に加え、一連のお知らせの掲載内容で
誤解を招く表現がございましたため訂正とお詫びがございます。

—————————————————————
■一連のお知らせに関する訂正とお詫び
—————————————————————
・WordPress に瑕疵があるような告知になっていた点につきまして

  今回の原因につきましては、上記の通り簡単インストールの仕様と
  サーバー側の設定不備が改ざんの主な要因となっております。

・当初、今回の大量改ざんの原因を「ブルートフォースアタック」や
 「 WordPress のテーマやプラグインの脆弱性」だと
 推測していた点につきまして

  以前より、サーバー上に設置された不特定多数の wp-login.php に対し
  海外から大量のアクセスが発生していることを検知いたしておりました。
  また、テーマに含まれているファイルなどの脆弱性を悪用されるケースも
  実際に確認されております。
  今回の大量改ざんを確認した時点におきましても、
  同時間帯に海外からの大量アクセスが発生していることを
  検知しておりました。
  そのため、対処方法の判明している上記2点の改ざん要因に対する
  初期対応として、
  短時間に大量アクセスを引き起こすブルートフォースアタックと
  WordPress の脆弱性に原因がある可能性と対処方法を掲載いたしました。
  しかし、引き続き調査をおこなった結果、
  攻撃の要因が未インストール状態の WordPress と
  サーバーのパーミッションの設定不備にあることが判明いたしました。

  お知らせなどの一部で、各方面に誤解を与えてしまう表現があり、
  ユーザー様に誤解や混乱を招きましたこと、深くお詫び申し上げます。

—————————————————————
■今後の対応と簡単インストールに関しまして
—————————————————————
現在提供を停止している簡単インストール機能につきましては、
今回の改ざんの原因となったパーミッションの設定と
未インストール状態で残る部分を改善した後に再開いたします。

改ざんの被害にあわれたユーザー様に対しましては、
引き続きデータの復元などを含めご案内させていただいております。

ご相談などにつきましては、
『ユーザー専用ページ』内「お問合せ」よりご連絡ください。

 ▽ロリポップ!ユーザー専用ページ
  https://user.lolipop.jp/

本件につきましては、
所轄警察署に被害状況ならびに今後の対応について相談しております。
今後もサイトの改ざん、攻撃等に対しては、警察等関係機関と連携し、
行為者の特定を含め、厳正な対処を行っていく所存です。

実施した対策の詳細やこれまでの経緯については、
下記お知らせにてご報告しております。
 ▽第三者によるユーザーサイトの改ざん被害に関するご報告
  http://lolipop.jp/info/news/4149/

この度は、弊社が実施した対策に伴う一連の設定変更ならびに
お知らせ等の表現により、
多くの皆様に多大なるご迷惑およびご心配をおかけいたしましたこと、
重ねてお詫び申し上げます。

本件につきましては真摯に受け止め、
安心してお使いいただける環境を提供できるよう
セキュリティ関連の対策や体制の強化をおこなって参ります。

今後ともロリポップ!をどうぞよろしくお願いいたします。