登録会員限定記事 現在はどなたでも閲覧可能です
不正アクセスは物理サーバーごとに成功していた
では、今回の5000サイトは1台の物理サーバー上に構築されていたのか。そうではない。
セキュリティー専門家などの調査では、Pastebinの書き込みにあった約5000のドメイン名のうち96%は、4つのIPアドレスにひも付いていたとされる。各IPアドレスにひも付いたドメインは1157~1290件。アルファメールライトは物理サーバー1台に対して1つのIPアドレスを割り当てていたので、1台の物理サーバーを1000ユーザー強で共有していたのだろう。改ざん被害は4台の物理サーバーで起こり、WordPressへの不正ログインは各物理サーバーで最低1回は成功していたと考えられる。
今回の攻撃は、WordPressへの不正ログインの手口など、全容がまだ分かっていない。ただし、被害が出た最大の原因はサーバーにOSの脆弱性が残っていたこと。多くのホスティングサービス事業者は、共有サーバータイプで使う物理サーバーのOSやHTTPサーバーソフトなどのソフトウエアは「最新の状態で提供する」とうたっている。しかしそのような運用は、現実的には難しい。なぜなら、ソフトウエアのアップデートによって、ユーザー環境に悪影響を及ぼす可能性があるからだ。
別のホスティングサービス事業者は「ソフトウエアがアップデートされても、すぐには適用しない」と明かす。ユーザーへの影響度を測るため、まずは1台のサーバーでアップデートし、様子を見ながら適用するサーバーの台数を広げていくという。
今回のような被害を起こさないための工夫もあるという。例えば、ユーザーごとに使用できるメモリー領域を制限してしまうことだ。そうすれば、アクセス権限に問題があっても、別のユーザーのディレクトリーを書き換えることは困難になるという。
今回の取材を通じて感じたのは、共有サーバータイプの危険性だ。以前から他のユーザーの影響を受けやすいと指摘されてきたが、脆弱性があれば改ざんも簡単に実行されてしまうことが改めて明らかになった。被害サイトの中には個人サイトだけではなく、大手企業や官公庁に関係するWebサイトも含まれている。共有サーバータイプは料金が安いことが魅力だが、組織によってはより安全な仮想サーバータイプなどへの移行を検討すべきだろう。
