ペパボ、「ロリポップ！」改ざん被害拡大の要因となった設定不備を謝罪

　株式会社paperboy&co.（ペパボ）は、同社が提供する個人向けレンタルサーバーサービス「ロリポップ！」において8438件の改ざん被害が発生していた件について、その原因の調査結果と実施した対策についてとりまとめ、9日夜に公表した。

　WordPressの簡単インストールで配布していたパッケージの不備と、サーバー側のディレクトリパーミッションの設定が不適切であったことが主な要因だとして、被害が拡大したことについて謝罪している。この問題については、すでに同社側で対策を実施済みだという。

　改ざん内容は、サーバー構成上の不備を悪用し、データベースの接続情報の取得やデータベース上のデータを書き換えるスクリプトファイルが設置されたというもの。改ざんされたサイトでは、1）サイトタイトルに「Hacked by Krad Xin」という文字列が追加されている、2）サイトのキャッチコピーに「BD GREY HAT HACKERS」という文字列が追加されている、3）サイトが文字化けして正常に閲覧できない――という状態になったことが確認されている。

　なお、今回の改ざんでは、サイト閲覧者へのマルウェア感染や、感染サイトへのリダイレクトなどは確認されていないという。

　ペパボによると、攻撃を受けたのは8月27日22時ごろから8月29日12時半ごろまでの期間。複数回にわたって、攻撃者によるものと思われる匿名ネットワークを介したアクセスおよびデータベースへの接続が確認されたとしている。なお、それ以降は同様の攻撃はないという。

　ペパボが最初に改ざんを確認したのは、8月28日18時ごろ。改ざんを受けたサイトの復旧は個別で随時対応しているが、未だ完了には至っていないとしている。