技術評論社のサイトが改ざん被害、フィッシングが原因で不正アクセスを受ける

　株式会社技術評論社は8日、同社ウェブサイト（gihyo.jp）が12月6日11時〜14時の間、第三者からの不正アクセスによりサイトが改ざんされていたとして、経緯を公表した。

　被害を受けたサーバーについては復旧作業を実施済みで、利用ユーザーの個人情報流出などは現在のところ確認されていないという。ただし、改ざんによりサイトが外部のサイトにリダイレクトされるようになっていたため、期間中に技術評論社のサイトにアクセスしたユーザーに対しては、セキュリティソフトを最新の状態にし、不正なプログラムの感染確認・駆除を行うよう呼び掛けている。

　技術評論社によると、フィッシングサイトの被害に遭ったことから、同社が利用している「さくらのVPS」のコントロールパネルのアカウントを乗っ取られ、複数台あるうちの1台のサーバーのOSが入れ替えられてしまったという。

　経緯としては、5日11時すぎに、sakura.ne.jpドメイン上にホストされたフィッシングサイトのURLを含むメールが、さくらのVPSのアカウントに登録されているメールアドレスに送られてきたという。この際に、「httpsなsakuraドメインであること、ほかのサービスではあまり使用していないメールアドレス宛であること」（同社説明文より）から、ヘッダーの確認などをせずにアクセスしてしまったとしている。

　5日11時10分すぎには、gihyo.jpのサーバーがダウン。この際には、偶然、担当者が新サービスのリリース前でサーバーに張り付いていたことから、コントロールパネル経由で攻撃者の操作を目撃。攻撃者は、当初はサーバーの乗っ取りを画策したが、さくらのVPSではコントロールパネルからrootパスワードを設定できないことなどから、攻撃者はOSの入れ替えを画策した。また、コントロールパネルの仕様で、セッションが有効な間はパスワードを変更されていてもログインできたため、「一時攻撃者とサーバーの取り合いを演じていた」という。

　5日13時20分ごろにはサーバーは復旧し、事態は収束したと判断したが、別のログイン方法が可能となっていたことから、6日11時すぎに再びサーバーへの不正アクセスが発生。OSの入れ替え、サイト改ざんが行われてしまった。この被害についても、6日14時には不正アクセスへの対策を完了して復旧作業を進め、7日時点で完全に復旧した。

　原因としては、さくらのVPSのコントロールパネルにはアカウントのログインのほかにサーバーのIPアドレスをIDとしたログイン方法があり、こちらのパスワード変更が完了できていなかったため、攻撃者の再侵入を許したという。この問題については当初から気付いており、複数回パスワード変更をトライしたがエラーメッセージが表示される状態であったため、さくらインターネットの担当者に対応を依頼したものの、処置されないままになっていたという。この点についてはその後の調査で、パスワードとして使用できない文字を指定しようとしていたためであるとの報告を受けているという。