ロリポップ!レンタルサーバー
ご利用のブラウザ(Internet Explorer)のサポートは2021年8月31日で終了します。
早めのブラウザの切り替えをお願いいたします。詳しくはこちら

第三者によるユーザーサイトの改ざん被害に関するご報告

2013/09/09

[2013/09/09 20:42 追記]

平素はロリポップ!レンタルサーバーをご利用いただき誠にありがとうございます。

先日より対応しておりました第三者によるユーザーサイトの改ざんに関してこれまでの経緯と実施した対策についてご報告いたします。

今回の件におきましては、簡単インストールで配布していたパッケージの不備とサーバー側のディレクトリパーミッションの設定が不適切であったことにより、改ざんの被害が拡大いたしましたことを深くお詫び申し上げます。

■発生した事象
ロリポップ!のサーバー上にインストールされた WordPress を利用して作成された一部のユーザーサイトにおいて改ざんの被害が発生いたしました。改ざんの被害にあったサイトでは、下記のいずれかの事象が確認されております。

・ 今回の攻撃によるサイト改ざん内容の特徴
サイトタイトルに「Hacked by Krad Xin」が含まれている
サイトのキャッチコピーが「BD GREY HAT HACKERS」になっている
サイトが文字化けしている

・同様の改ざんを確認している対象件数
8,438件

※サービスに登録されている個人情報にアクセスされた形跡はなく情報の流出はございません。

■原因
・改ざんの原因
簡単インストールを利用して設置された WordPress においてインストールが完了していない WordPress が狙われ、WordPress の管理者権限を第三者に取得されたことで、サーバー上にサーバー構成上の不備を悪用するスクリプトが設置されました。また、wp-config.php のパーミッションが 644 だったことを利用して、設置されたスクリプトによりデータベースの接続情報の取得がおこなわれ、データベース上のデータの書き換えが可能な状態となっておりました。

・改ざんが拡大した原因
サーバー側のディレクトリパーミッションが不適切だったことと、FollowSymLinks の設定を有効にできる状態であったため、同一サーバー上のユーザー領域を辿り、他のユーザー様の wp-config.php の内容を参照し、データベースの更新を実行することで改ざんの被害が拡大しました。


上記の事象と原因に関して、被害の拡大を防ぐため以下の対策を実施いたしました。

■実施した対策
【8月28日~29日実施】
・原因調査および対策の検討

【8月29日実施】
・データベースの接続情報が外部から取得されないようにするための対策
wp-config.php のパーミッションを変更いたしました。

・未インストールの WordPress の管理者権限を第三者に取得されないための対策
install.php のパーミッションを変更いたしました。

【8月30日~9月1日実施】
・不正に取得されたデータベースのアカウントを利用して書き換えなどをおこなわれないようにするための対策
対象ユーザー様のデータベースパスワードを変更しました。
同時に、ご不便が生じないよう、ユーザー様がご利用の CMS の設定ファイル内に記述されているデータベースパスワードも合わせて変更いたしました。

・同サーバー内のユーザー領域のディレクトリを辿れなくするための対策
サーバー側のディレクトリパーミッション設定を適切に変更しました。
サーバー側の設定変更により FollowSymLinks の機能を停止しました。

・さらなる被害の増加を防ぐための対策
簡単インストールの一時停止をおこないました。

【8月29日~9月5日実施】
全サーバーのウィルススキャンの実行とマルウェアが確認されたユーザー様の WAF を有効にしました。


本件につきまして、経緯に関する説明に加え、一連のお知らせの掲載内容で誤解を招く表現がございましたため訂正とお詫びがございます。

■今回の原因となった簡単インストール機能で未インストール状態のWordPressとサーバーのパーミッションの設定に関しまして

・簡単インストールで未インストールの状態が発生した経緯
WordPress など、人気のCMSのインストールに関してご相談をいただく機会が多く、出来る限りユーザー様による設定の手間を減らし、サイト編集などに専念していただける環境を提供できるように簡単インストールの機能を導入いたしました。簡単インストールは、データベースの情報設定やファイルのアップロードなど、本来手動で行うインストール作業をサーバー側で自動的におこなう機能です。今回、当社による簡単インストールの仕様により、システムファイルのインストールだけが完了し、ログイン情報登録などのセットアップがおこなわれていない状態の WordPress が設置されていました。

・サーバー側のパーミッションの設定についての経緯
2009年にロリポップ!では、サーバーのスペックアップ、及び機能改善のためサーバー構成の大幅なリニューアルを実施しましたが、その際にユーザー様の「フルパス」の仕様を変更致しました。  但しリニューアル後も設定変更なくお使いいただけるよう、サーバー内にシンボリックリンクファイルを設置し旧仕様のフルパスも利用可能な状態としていましたが、その際の上位ディレクトリのパーミッション設定に不備があり、FollowSymLinksの機能を使用することで同一サーバー内の他のユーザー様の領域にアクセスできてしまう状態になっていました。このため、ユーザー様の領域内のファイルの権限設定、及び.htaccessの記載内容によっては、サーバー内の他のユーザー様のファイルが閲覧できてしまうという状態が発生しておりました。

■一連のお知らせに関する訂正とお詫び
・WordPress に瑕疵があるような告知になっていた点につきまして
今回の原因につきましては、上記の通り簡単インストールの仕様とサーバー側の設定不備が改ざんの主な要因となっております。

・当初、今回の大量改ざんの原因を「ブルートフォースアタック」や「WordPressのテーマやプラグインの脆弱性」だと推測していた点につきまして
以前より、サーバー上に設置された不特定多数の wp-login.php に対し海外から大量のアクセスが発生していることを検知いたしておりました。また、テーマに含まれているファイルなどの脆弱性を悪用されるケースも実際に確認されております。今回の大量改ざんを確認した時点におきましても、同時間帯に海外からの大量アクセスが発生していることを検知しておりました。そのため、対処方法の判明している上記2点の改ざん要因に対する初期対応として、短時間に大量アクセスを引き起こすブルートフォースアタックとWordPressの脆弱性に原因がある可能性と対処方法を掲載いたしました。しかし、引続き調査をおこなった結果、攻撃の要因が未インストール状態のWordPress とサーバーのパーミッションの設定不備にあることが判明いたしました。

事実が当初の予測と異なっており、ユーザー様に誤解や混乱を招きましたこと、深くお詫び申し上げます。

ロリポップ!レンタルサーバーのユーザー様をはじめ多くの皆様に多大なるご迷惑およびご心配をおかけし誠に申し訳ございません。また、お知らせなどの一部で、各方面に誤解を与えてしまう表現がありましたことを重ねてお詫び申し上げます。


改ざんの被害にあわれたユーザー様に対しましては、引続きデータの復元などを含めご案内させていただいております。本件に関してのご相談などにつきましては、こちらのお問合せフォームよりご連絡ください。

本件につきましては所轄警察署に被害状況ならびに今後の対応について相談しております。今後もサイトの改ざん、攻撃等に対しては、警察等関係機関と連携し、行為者の特定を含め、厳正な対処を行っていく所存です。

最後に、現在提供を停止している簡単インストール機能につきましては、今回の改ざんの原因となったパーミッションの設定と未インストール状態で残る部分を改善した後に再開いたします。本件につきましては、弊社といたしましても真摯に受け止め、安心してお使いいただける環境を提供できるようセキュリティ関連の対策や体制の強化をおこなって参ります。

この度は多大なご心配・ご迷惑をお掛けし、誠に申し訳ございませんでした。


[2013/09/08 11:05 追記]
「ロリポップ!レンタルサーバー」への攻撃に関して、引き続き改ざんの被害にあわれたお客様に対し、復旧方法やデータ復元などのご案内を行っております。

本日もご案内をおこなってまいりますので、本件に関してのご質問やご相談などがございましたらユーザー専用ページ内『お問合せ』よりご連絡ください。

なお、本件に関するこれまでの経緯などにつきましては、こちらのお知らせにて改めてご報告いたします。

お客様には多大なご心配・ご迷惑をお掛けし、深くお詫び申し上げます。


[2013/09/07 12:45 追記]
「ロリポップ!レンタルサーバー」への攻撃に関して、引き続き改ざんの被害にあわれたお客様に対し、復旧方法やデータ復元などのご案内を行っております。

今回の大規模攻撃により改ざんされたWordPressサイトの復旧方法につきましては、 改ざんされたWordPressサイトの復旧方法について にてご案内させていただいております。

本件に関してのご質問やご相談などがございましたらユーザー専用ページ内『お問合せ』よりご連絡ください。

なお、本件に関するこれまでの経緯などにつきましては、こちらのお知らせにて改めてご報告いたします。

お客様には多大なご心配・ご迷惑をお掛けし、深くお詫び申し上げます。


[2013/09/06 17:31 追記]
継続対応しております「ロリポップ!レンタルサーバー」への攻撃に関して、対策の進捗につきましてご報告いたします。

[対応と進捗について]
セキュリティ強化のため実施いたしましたサーバーの緊急メンテナンスは9月5日 22時20分に終了いたしました。

上記のメンテナンスをもちまして、予定しておりました対応や対策が完了いたしました。
この度はご協力を賜り、誠にありがとうございました。

改ざんの被害にあわれたお客様に対しましては、データの復元などを含めご案内させていただいております。引き続き土日もご案内をおこなってまいりますので、本件に関してのご質問やご相談などがございましたらユーザー専用ページ内『お問合せ』よりご連絡ください。

なお、本件に関するこれまでの経緯などにつきましては、こちらのお知らせにて改めてご報告いたします。

お客様には多大なご心配・ご迷惑をお掛けし、深くお詫び申し上げます。


[2013/09/05 16:32 追記]
継続対応しております「ロリポップ!レンタルサーバー」への攻撃に関して、現時点で行っている対策の進捗につきましてご報告いたします。

[対応と進捗について]
全サーバーに対して実施していたウィルススキャンが完了いたしました。不正なファイルを検知した場合には、アクセスができないようにパーミッションを「000」へ随時変更し、再度不正なファイルがアップロードされないよう、お客さまのサーバー領域のWAF(Web Application Firewall)を有効にしております。

該当のお客様に対しては、ご登録のメールアドレス宛に個別にご連絡を差し上げております。


また、セキュリティ強化のためサーバーのメンテナンスを予定しております。こちらのメンテナンスに関しましては、開始時間などの詳細が決まり次第、メンテナンス情報に掲載いたします。

各対策の進捗につきましては、引き続き当ページにて随時ご報告してまいります。
お客様には多大なご心配・ご迷惑をお掛けし、深くお詫び申し上げます。

実施した対策に関しましてご不明な点などございましたら、ユーザー専用ページ内『お問合せ』よりご連絡ください。


[2013/09/05 10:02 追記]
継続対応しております「ロリポップ!レンタルサーバー」への攻撃に関して、現時点で行っている対策の進捗につきましてご報告いたします。

[対応と進捗について]
引続き、以下の対応をおこなっております。

1)サーバー上にあるすべてのファイルに対してウィルススキャンを実行し、不正なファイルを検知した場合には、アクセスができないようにパーミッションを「000」へ随時変更し、再度不正なファイルがアップロードされないよう、お客さまのサーバー領域のWAF(Web Application Firewall)を随時有効にしております。

ウイルスチェックはほぼ完了しておりますが、一部のサーバーにおきましては、ウィルスチェックに引続き時間がかかるものがございます。
完了していないサーバーに関しましては、引続きウィルスチェックを実施いたします。
今後のウィルスチェックに関しましては、ウィルスの検知とWAFの対応をおこなったお客様に対して個別にご案内いたします。

前回までにお知らせしておりました 2)、3)の各対応に関しましては完了いたしております。
詳細につきましては当お知らせ[2013/09/03 10:00 追記] をご確認ください。

各対策の進捗につきましては、当ページにて随時ご報告してまいります。
お客様には多大なご心配・ご迷惑をお掛けし、深くお詫び申し上げます。

今回実施した対策に関しまして、ご不明な点などございましたら、ユーザー専用ページ内『お問合せ』よりご連絡ください。

▽ロリポップ!ユーザー専用ページ
https://user.lolipop.jp/


次の状況ご報告は、9月5日16時頃を予定しております。

[2013/09/04 16:04 追記]
継続対応しております「ロリポップ!レンタルサーバー」への攻撃に関して、現時点で行っている対策の進捗につきましてご報告いたします。

[対応と進捗について]
引続き、以下の対応をおこなっております。

1)サーバー上にあるすべてのファイルに対してウィルススキャンを実行し、不正なファイルを検知した場合には、アクセスができないようにパーミッションを「000」へ随時変更し、再度不正なファイルがアップロードされないよう、お客さまのサーバー領域のWAF(Web Application Firewall)を随時有効にしております。

全サーバーの9割でウィルスチェックが完了いたしました。
一部のサーバーにおきましては、ウィルスチェックに引続き時間がかかるものがございます。
完了していないサーバーに関しましては、引続きウィルスチェックを実施いたします。

前回までにお知らせしておりました 2)、3)の各対応に関しましては完了いたしております。
詳細につきましては当お知らせ[2013/09/03 10:00 追記] をご確認ください。

今後のウィルスチェックに関しましては、ウィルスの検知とWAFの対応をおこなったお客様に対して個別にご案内いたします。
各対策の進捗につきましては、当ページにて随時ご報告してまいります。
お客様には多大なご心配・ご迷惑をお掛けし、深くお詫び申し上げます。

今回実施した対策に関しまして、ご不明な点などございましたら、ユーザー専用ページ内『お問合せ』よりご連絡ください。

▽ロリポップ!ユーザー専用ページ
https://user.lolipop.jp/


次の状況ご報告は、9月5日10時頃を予定しております。


[2013/09/04 10:09 追記]
継続対応しております「ロリポップ!レンタルサーバー」への攻撃に関して、現時点で行っている対策の進捗につきましてご報告いたします。

[対応と進捗について]
1)サーバー上にあるすべてのファイルに対してウィルススキャンを実行し、不正なファイルを検知した場合には、アクセスができないようにパーミッションを「000」へ随時変更し、再度不正なファイルがアップロードされないよう、お客さまのサーバー領域のWAF(Web Application Firewall)を随時有効にしております。

現在までの進捗は、約85%となっております。

2)WordPressをご利用のお客様の『wp-config.php』ファイル内にあるAUTH_KEYやAUTH_SALT等の記述を変更する作業を実施いたしました。

詳細につきましては当お知らせ [2013/09/03 10:00 追記] をご確認ください。

3)お客様のサーバー領域に設置されているWordPressにおきまして、『install.php』ファイルのパーミッションを「000」に設定いたしました。

詳細につきましては当お知らせ [2013/09/03 10:00 追記] をご確認ください。

各対策の進捗につきましては、当ページにて随時ご報告してまいります。
お客様には多大なご心配・ご迷惑をお掛けし、深くお詫び申し上げます。

今回実施した対策に関しまして、ご不明な点などございましたら、ユーザー専用ページ内『お問合せ』よりご連絡ください。

▽ロリポップ!ユーザー専用ページ
https://user.lolipop.jp/


次の状況ご報告は、9月4日16時頃を予定しております。


[2013/09/03 22:07 追記]
継続対応しております「ロリポップ!レンタルサーバー」への攻撃に関して、現時点で行っている対策の進捗につきましてご報告いたします。

[対応と進捗について]
1)サーバー上にあるすべてのファイルに対してウィルススキャンを実行し、不正なファイルを検知した場合には、アクセスができないようにパーミッションを「000」へ随時変更し、再度不正なファイルがアップロードされないよう、お客さまのサーバー領域のWAF(Web Application Firewall)を随時有効にしております。

現在までの進捗は、約80%となっております。

2)WordPressをご利用のお客様の『wp-config.php』ファイル内にあるAUTH_KEYやAUTH_SALT等の記述を変更する作業を実施いたしました。

詳細につきましては当お知らせ [2013/09/03 10:00 追記] をご確認ください。

3)お客様のサーバー領域に設置されているWordPressにおきまして、『install.php』ファイルのパーミッションを「000」に設定いたしました。

詳細につきましては当お知らせ [2013/09/03 10:00 追記] をご確認ください。

各対策の進捗につきましては、当ページにて随時ご報告してまいります。
お客様には多大なご心配・ご迷惑をお掛けし、深くお詫び申し上げます。

今回実施した対策に関しまして、ご不明な点などございましたら、ユーザー専用ページ内『お問合せ』よりご連絡ください。

▽ロリポップ!ユーザー専用ページ
https://user.lolipop.jp/


次の状況ご報告は、9月4日10時頃を予定しております。


[2013/09/03 16:00 追記]
継続対応しております「ロリポップ!レンタルサーバー」への攻撃に関して、現時点で行っている対策の進捗につきましてご報告いたします。

[対応と進捗について]
1)サーバー上にあるすべてのファイルに対してウィルススキャンを実行し、不正なファイルを検知した場合には、アクセスができないようにパーミッションを「000」へ随時変更し、再度不正なファイルがアップロードされないよう、お客さまのサーバー領域のWAF(Web Application Firewall)を随時有効にしております。

現在までの進捗は、約75%となっております。

2)WordPressをご利用のお客様の『wp-config.php』ファイル内にあるAUTH_KEYやAUTH_SALT等の記述を変更する作業を実施いたしました。

詳細につきましては当お知らせ [2013/09/03 10:00 追記] をご確認ください。

3)お客様のサーバー領域に設置されているWordPressにおきまして、『install.php』ファイルのパーミッションを「000」に設定いたしました。

詳細につきましては当お知らせ [2013/09/03 10:00 追記] をご確認ください。

各対策の進捗につきましては、当ページにて随時ご報告してまいります。
お客様には多大なご心配・ご迷惑をお掛けし、深くお詫び申し上げます。

今回実施した対策に関しまして、ご不明な点などございましたら、ユーザー専用ページ内『お問合せ』よりご連絡ください。

▽ロリポップ!ユーザー専用ページ
https://user.lolipop.jp/


次の状況ご報告は、9月3日22時頃を予定しております。


[2013/09/03 10:00 追記]
継続対応しております「ロリポップ!レンタルサーバー」への攻撃に関して、現時点で行っている対策の進捗につきましてご報告いたします。

[対応と進捗について]
1)サーバー上にあるすべてのファイルに対してウィルススキャンを実行し、不正なファイルを検知した場合には、アクセスができないようにパーミッションを「000」へ随時変更し、再度不正なファイルがアップロードされないよう、お客さまのサーバー領域のWAF(Web Application Firewall)を随時有効にしております。

現在までの進捗は、約70%となっております。

2)WordPressをご利用のお客様の『wp-config.php』ファイル内にあるAUTH_KEYやAUTH_SALT等の記述を変更する作業を実施いたしました。
弊社側での変更作業は完了しております。
なお、この作業に伴って、お客様に特別な変更作業を行っていただく必要はございません。
また、この作業によるお客様のサイト表示やWordPressの設定などに影響はございません。

作業の詳細に関しましては、下記URLのメンテナンス情報をご確認ください。
▽wp-config.php 内の記述を書き換える緊急メンテナンスのお知らせ【完了】
http://lolipop.jp/info/mainte/4154/

3)お客様のサーバー領域に設置されているWordPressにおきまして、『install.php』ファイルのパーミッションを「000」に設定いたしました。
なお、この作業に伴って、お客様に特別な変更作業を行っていただく必要はございません。
また、『install.php』はWordPressの設置時のみ利用されるファイルであり、この変更によるお客様のWordPressのご利用への影響はございません。
変更対象となったファイルを設置されているお客様には、ご登録メールアドレス宛に別途メールをお送りしております。
※パーミッション変更後の『install.php』は削除していただいて構いません。

各対策の進捗につきましては、当ページにて随時ご報告してまいります。
お客様には多大なご心配・ご迷惑をお掛けし、深くお詫び申し上げます。

今回実施した対策に関しまして、ご不明な点などございましたら、ユーザー専用ページ内『お問合せ』よりご連絡ください。

▽ロリポップ!ユーザー専用ページ
https://user.lolipop.jp/


次の状況ご報告は、9月3日16時頃を予定しております。


[2013/09/02 22:28 追記]
継続対応しております「ロリポップ!レンタルサーバー」への攻撃に関して、現時点で行っている対策の進捗につきましてご報告いたします。

[対応と進捗について]
1)サーバー上にあるすべてのファイルに対してウィルススキャンを実行し、不正なファイルを検知した場合には、アクセスができないようにパーミッションを「000」へ随時変更し、再度不正なファイルがアップロードされないよう、お客さまのサーバー領域のWAF(Web Application Firewall)を随時有効にしております。

現在までの進捗は、約65%となっております。

2)WordPressをご利用のお客様の『wp-config.php』ファイル内にあるAUTH_KEYやAUTH_SALT等の記述を変更する作業を実施いたします。
なお、この作業に伴って、お客様に特別な変更作業を行っていただく必要はございません。
また、この作業によるお客様のサイト表示やWordPressの設定などに影響はございません。

作業の実施時刻や内容の詳細に関しましては、下記URLのメンテナンス情報をご確認ください。
▽wp-config.php 内の記述を書き換える緊急メンテナンスのお知らせ
http://lolipop.jp/info/mainte/4154/

※メンテナンス中にWordPressのダッシュボードへログインされている場合は、一旦ログアウトされる可能性がございます。メンテナンス時間中は、ダッシュボード内での作業を控えていただきますようお願い申し上げます。

3)お客様のサーバー領域に設置されているWordPressにおきまして、『install.php』ファイルのパーミッションを「000」に設定いたしました。
なお、この作業に伴って、お客様に特別な変更作業を行っていただく必要はございません。
また、『install.php』はWordPressの設置時のみ利用されるファイルであり、この変更によるお客様のWordPressのご利用への影響はございません。
変更対象となったファイルを設置されているお客様には、ご登録メールアドレス宛に別途メールをお送りしております。
※パーミッション変更後の『install.php』は削除していただいて構いません。

各対策の進捗につきましては、当ページにて随時ご報告してまいります。
お客様には多大なご心配・ご迷惑をお掛けし、深くお詫び申し上げます。

今回実施した対策に関しまして、ご不明な点などございましたら、ユーザー専用ページ内『お問合せ』よりご連絡ください。

▽ロリポップ!ユーザー専用ページ
https://user.lolipop.jp/


次の状況ご報告は、9月3日10時頃を予定しております。


[2013/09/02 16:00 追記]
継続対応しております「ロリポップ!レンタルサーバー」への攻撃に関して、現時点で行っている3点の対策の進捗につきましてご報告いたします。

[対応と進捗について]
1)サーバー上にある全ての WordPress で使用しているデータベースのパスワード変更および該当するデータベースを使用している CMS の設定ファイルの記述変更は完了し、サーバー上に設置されている WordPress などのコンテンツに関してはご利用いただける状態になっております。

詳細につきましては当お知らせ [2013/09/01 21:42 追記] をご確認ください。


2)サーバーの設定を変更し FollowSymLinks を無効にしました。
また、SymLinksIfOwnerMatch を有効にするため、ユーザーごとに .htaccess 内の記述の置換を実施いたしました。

詳細につきましては当お知らせ [2013/09/01 21:42 追記] をご確認ください。


3)サーバー上にあるすべてのファイルに対してウィルススキャンを実行し、不正なファイルを検知した場合には、アクセスができないようにパーミッションを「000」へ随時変更し、再度不正なファイルがアップロードされないよう、お客さまのサーバー領域のWAF(Web Application Firewall)を随時有効にしております。

現在までの進捗は、約60%となっております。


各対策の進捗につきましては、当ページにて随時ご報告してまいります。
お客様には多大なご心配・ご迷惑をお掛けし、深くお詫び申し上げます。

今回実施した対策に関しまして、ご不明な点などございましたら、ユーザー専用ページ内『お問合せ』よりご連絡ください。

▽ロリポップ!ユーザー専用ページ
https://user.lolipop.jp/


次の状況ご報告は、9月2日22時頃を予定しております。


[2013/09/02 10:00 追記]
継続対応しております「ロリポップ!レンタルサーバー」への攻撃に関して、現時点で行っている3点の対策の進捗につきましてご報告いたします。

[対応と進捗について]
1)サーバー上にある全ての WordPress で使用しているデータベースのパスワード変更および該当するデータベースを使用している CMS の設定ファイルの記述変更は完了し、サーバー上に設置されている WordPress などのコンテンツに関してはご利用いただける状態になっております。

詳細につきましては当お知らせ [2013/09/01 21:42 追記] をご確認ください。


2)サーバーの設定を変更し FollowSymLinks を無効にしました。
また、SymLinksIfOwnerMatch を有効にするため、ユーザーごとに .htaccess 内の記述の置換を実施いたしました。

詳細につきましては当お知らせ [2013/09/01 21:42 追記] をご確認ください。


3)サーバー上にあるすべてのファイルに対してウィルススキャンを実行し、不正なファイルを検知した場合には、アクセスができないようにパーミッションを「000」へ随時変更し、再度不正なファイルがアップロードされないよう、お客さまのサーバー領域のWAF(Web Application Firewall)を随時有効にしております。

現在までの進捗は、約55%となっております。


各対策の進捗につきましては、当ページにて随時ご報告してまいります。
お客様には多大なご心配・ご迷惑をお掛けし、深くお詫び申し上げます。

今回実施した対策に関しまして、ご不明な点などございましたら、ユーザー専用ページ内『お問合せ』よりご連絡ください。

▽ロリポップ!ユーザー専用ページ
https://user.lolipop.jp/


次の状況ご報告は、9月2日16時頃を予定しております。


[2013/09/01 21:42 追記]
継続対応しております「ロリポップ!レンタルサーバー」への攻撃に関して、現時点で行っている3点の対策の進捗につきましてご報告いたします。

[対応と進捗について]
1)サーバー上にある全ての WordPress で使用しているデータベースのパスワード変更および該当するデータベースを使用している CMS の設定ファイルの記述変更は完了し、サーバー上に設置されている WordPress などのコンテンツに関してはご利用いただける状態になっております。

上記作業により、お客様自身で特別な変更作業を行っていただく必要はございませんが、お客様がご自身でプログラムの作成や修正をされている場合など、使用状況によっては各設定ファイルに旧パスワードが含まれており、現在もサイトの表示ができなくなっている可能性もございます。
その場合は、ご自身で復旧作業を行っていただきますようお願い申し上げます。
復旧方法については下記お知らせに記載しておりますので、ご参照ください。

▽データベース接続でエラーがでるお客様に関しまして
http://lolipop.jp/info/news/4153/

なお、今回のデータベースパスワード変更の対象のお客様にはご登録メールアドレス宛にご案内をお送りしておりますのでご確認ください。


2)サーバーの設定を変更し FollowSymLinks を無効にしました。
また、SymLinksIfOwnerMatch を有効にするため、ユーザーごとに .htaccess 内の記述の置換を実施いたしました。

作業の詳細や影響範囲に関しましては、下記 URL のメンテナンス情報よりご確認ください。

▽緊急メンテナンスによる一部サイトの一時的な表示不可のお知らせ【完了】
http://lolipop.jp/info/mainte/4151/

なお、置き換え対象となったファイルを設置されているお客様には、ご登録メールアドレス宛に別途メールをお送りしております。

上記作業に関しまして、お客様に特別な変更作業を行っていただく必要はございませんが、 .htaccess 内に「 Option All 」が記述されている場合はお手数ですが、お客様ご自身で以下のように書き換えをお願いいたします。

 Option All
 ↓
 Options +ExecCGI Includes IncludesNOEXEC MultiViews SymLinksIfOwnerMatch


3)サーバー上にあるすべてのファイルに対してウィルススキャンを実行し、不正なファイルを検知した場合には、アクセスができないようにパーミッションを「000」へ随時変更し、再度不正なファイルがアップロードされないよう、お客さまのサーバー領域のWAF(Web Application Firewall)を随時有効にしております。

現在までの進捗は、約50%となっております。


各対策の進捗につきましては、当ページにて随時ご報告してまいります。
お客様には多大なご心配・ご迷惑をお掛けし、深くお詫び申し上げます。

今回実施した対策に関しまして、ご不明な点などございましたら、ユーザー専用ページ内『お問合せ』よりご連絡ください。

▽ロリポップ!ユーザー専用ページ
https://user.lolipop.jp/


次の状況ご報告は、9月2日10時頃を予定しております。

[2013/09/01 16:00 追記]
継続対応しております「ロリポップ!レンタルサーバー」への攻撃に関して、現時点で行っている3点の対策の進捗につきましてご報告いたします。


[対策と進捗について]
1)サーバー上にある全ての WordPress で使用しているデータベースのパスワード、および該当するデータベースを使用している CMS の設定ファイル上のパスワードを新しいものに逐次書き換えております。

現在までの進捗は、約90%となっております。


2)サーバーの設定を変更し FollowSymLinks を無効にしました。また、SymLinksIfOwnerMatch を有効にするため、ユーザーごとに .htaccess 内の記述の置換を逐次行っております。

現在までの進捗は、約95%となっております。


3)サーバー上にあるすべてのファイルに対してウィルススキャンを実行し、不正なファイルを検知した場合には、アクセスができないようにパーミッションを「000」へ随時変更し、再度不正なファイルがアップロードされないよう、お客さまのサーバー領域のWAF(Web Application Firewall)を随時有効にしております。

現在までの進捗は、約45%となっております。


各対策の進捗につきましては、当ページにて随時ご報告してまいります。
お客様には多大なご心配・ご迷惑をお掛けし、深くお詫び申し上げます。

次の状況ご報告は、9月1日22時頃を予定しております。


[2013/09/01 10:00 追記]
継続対応しております「ロリポップ!レンタルサーバー」への攻撃に関して、現時点で行っている3点の対策の進捗につきましてご報告いたします。


[対策と進捗について]
1)サーバー上にある全ての WordPress で使用しているデータベースのパスワード、および該当するデータベースを使用している CMS の設定ファイル上のパスワードを新しいものに逐次書き換えております。

現在までの進捗は、約85%となっております。

2)サーバーの設定を変更し FollowSymLinks を無効にしました。また、SymLinksIfOwnerMatch を有効にするため、ユーザーごとに .htaccess 内の記述の置換を逐次行っております。

現在までの進捗は、約90%となっております。

3)サーバー上にあるすべてのファイルに対してウィルススキャンを実行し、不正なファイルを検知した場合には、アクセスができないようにパーミッションを「000」へ随時変更し、再度不正なファイルがアップロードされないよう、お客さまのサーバー領域のWAF(Web Application Firewall)を随時有効にしております。

現在までの進捗は、約40%となっております。


各対策の進捗につきましては、当ページにて随時ご報告してまいります。
お客様には多大なご心配・ご迷惑をお掛けし、深くお詫び申し上げます。

次の状況ご報告は、9月1日16時頃を予定しております。


[2013/08/31 22:00 追記]
継続対応しております「ロリポップ!レンタルサーバー」への攻撃に関して、現時点で行っている3点の対策の進捗につきましてご報告いたします。


[対策と進捗について]
1)サーバー上にある全ての WordPress で使用しているデータベースのパスワード、および該当するデータベースを使用している CMS の設定ファイル上のパスワードを新しいものに逐次書き換えております。

現在までの進捗は、約80%となっております。

2)サーバーの設定を変更し FollowSymLinks を無効にしました。また、SymLinksIfOwnerMatch を有効にするため、ユーザーごとに .htaccess 内の記述の置換を逐次行っております。

現在までの進捗は、約85%となっております。

3)サーバー上にあるすべてのファイルに対してウィルススキャンを実行し、不正なファイルを検知した場合には、アクセスができないようにパーミッションを「000」へ随時変更し、再度不正なファイルがアップロードされないよう、お客さまのサーバー領域のWAF(Web Application Firewall)を随時有効にしております。

現在までの進捗は、約35%となっております。


各対策の進捗につきましては、当ページにて随時ご報告してまいります。
お客様には多大なご心配・ご迷惑をお掛けし、深くお詫び申し上げます。

次の状況ご報告は、9月1日10時頃を予定しております。


[2013/08/31 16:00 追記]
継続対応しております「ロリポップ!レンタルサーバー」への攻撃に関して、現時点で行っている3点の対策の進捗につきましてご報告いたします。


[対策と進捗について]
1)サーバー上にある全ての WordPress で使用しているデータベースのパスワード、および該当するデータベースを使用している CMS の設定ファイル上のパスワードを新しいものに逐次書き換えております。

現在までの進捗は、約75%となっております。

2)サーバーの設定を変更し FollowSymLinks を無効にしました。また、SymLinksIfOwnerMatch を有効にするため、ユーザーごとに .htaccess 内の記述の置換を逐次行っております。

現在までの進捗は、約70%となっております。

3)サーバー上にあるすべてのファイルに対してウィルススキャンを実行し、不正なファイルを検知した場合には、アクセスができないようにパーミッションを「000」へ随時変更し、再度不正なファイルがアップロードされないよう、お客さまのサーバー領域のWAF(Web Application Firewall)を随時有効にしております。

現在までの進捗は、約30%となっております。


各対策の進捗につきましては、当ページにて随時ご報告してまいります。
お客様には多大なご心配・ご迷惑をお掛けし、深くお詫び申し上げます。

次の状況ご報告は、8月31日22時頃を予定しております。


[2013/08/31 10:30 追記]
継続対応しております「ロリポップ!レンタルサーバー」への攻撃に関して、現時点で行っている3点の対策の進捗につきましてご報告いたします。


[対策と進捗について]
1)サーバー上にある全ての WordPress で使用しているデータベースのパスワード、および該当するデータベースを使用している CMS の設定ファイル上のパスワードを新しいものに逐次書き換えております。

現在までの進捗は、約70%となっております。

2)サーバーの設定を変更し FollowSymLinks を無効にしました。また、SymLinksIfOwnerMatch を有効にするため、ユーザーごとに .htaccess 内の記述の置換を逐次行っております。

現在までの進捗は、約50%となっております。

3)サーバー上にあるすべてのファイルに対してウィルススキャンを実行し、不正なファイルを検知した場合には、アクセスができないようにパーミッションを「000」へ変更し、再度不正なファイルがアップロードされないよう、お客さまのサーバー領域のWAF(Web Application Firewall)を有効にしております。

改めてウイルススキャンを実行し、現在の進捗は約15%となっております。


各対策の進捗につきましては、当ページにて随時ご報告してまいります。
お客様には多大なご心配・ご迷惑をお掛けし、深くお詫び申し上げます。

次の状況ご報告は、8月31日16時頃を予定しております。


[2013/08/31 03:04 追記]
2013/08/30 04:13 および 23:02 にご連絡させていただきましたとおり、ロリポップ!レンタルサーバー上にある全てのWordPressで使用しているデータベースのパスワード、および該当するデータベースを使用しているCMSの設定ファイル上のパスワードの書き換えを順次実施しております。
なお、書き換えが完了したお客様につきましては、別途メールにてご案内を送信させていただいております。

■対象
・WordPressでご利用中のデータベースパスワード
※WordPressで利用されていないデータベースは対象外となります。
・上記データベースを利用しているCMSの設定ファイル(wp-config.phpなど)

■変更箇所
・データベースパスワードの変更
・CMSの設定ファイル内の該当パスワード記載部分の書き換え

※変更後のデータベースパスワードは、ユーザー専用ページ内『WEBツール>データベース』にて『パスワード確認』ボタンをクリックすることでご確認いただけます。

※WordPressの他に、簡単インストールを利用して設置された以下のCMSが上記データベースを使用している場合、該当のCMSの設定ファイルも自動的に変更いたします。
・Movable Type Open Source
・Sweetcron
・baserCMS
・EC-CUBE

WordPressで利用されているデータベースで、上記以外のCMSを併せてご利用の場合は、お客様ご自身で該当するCMSの設定ファイル内に記載されているデータベースパスワードの変更をお願いいたします。

また、ユーザー専用ページのログインパスワードやFTPパスワードにデータベースのパスワードと同じ文字列を設定されていた場合は、ユーザー専用ページやFTP経由の不正アクセスを予防するため、ユーザー専用ページより該当するパスワードの変更をお願いいたします。


お客様には多大なご心配・ご迷惑をお掛けし、深くお詫び申し上げます。
次の状況ご報告は、8月31日10時頃を予定しております。



[2013/08/30 23:02 追記]
継続対応しております「ロリポップ!レンタルサーバー」への攻撃に関して、現時点で行っている4点の対策をご報告いたします。

[対策について]
1)サーバー上にある全ての WordPress で使用しているデータベースのパスワード、および該当するデータベースを使用しているCMSの設定ファイル上のパスワードを新しいものに逐次書き換えております。

2)サーバーの設定を変更しFollowSymLinksを無効にしました。また、SymLinksIfOwnerMatchを有効にするため、ユーザーごとに.htaccess内の記述の置換を逐次行っております。

3)サーバー上にあるすべてのファイルに対してウィルススキャンを実行し、不正なファイルを検知した場合には、アクセスができないようにパーミッションを「000」へ随時変更しております。

4)3)において不正なファイルを検知したお客様のサーバー領域へ再度不正なファイルがアップロードされないようにWAF(Web Application Firewall)を随時有効にしております。


各対策の進捗につきましては、当ページにて随時ご報告してまいります。
お客様には多大なご心配・ご迷惑をお掛けし、深くお詫び申し上げます。

次の状況ご報告は、8月31日10時頃を予定しております。



[2013/08/30 19:13 追記]
「ロリポップ!レンタルサーバー」への攻撃に関し、状況のご報告が予定より遅れ申し訳ございません。
現在も先にご報告させていただいた各対策を順次進めております。

[これまでに判明している状況]
2013/08/29 22:40 時点でのご報告において、改ざん手法を「WordPressのプラグインやテーマの脆弱性を利用」として説明を行っておりましたが、その脆弱性を侵入経路として、「当社のパーミッションの設定不備を利用」されたことが原因であることを確認しております。

被害拡大の防止を最優先としており、本件の発表が今となりましたこと深くお詫び申し上げます。

本件の改ざんは、WordPressの設定ファイルであるwp-config.phpからデータベース接続に必要な情報を抜き出して情報を書き換えられたもので、それ以外のデータに影響はございません。先般お知らせしておりました、データベースのパスワード変更はこちらに関連するものです。重ねてご報告いたします。

お客様ならびに多くのインターネットユーザーの皆様に
多大なご心配とご迷惑をお掛けしておりますことを改めてお詫び申し上げます。

次回ご報告は、本日22時頃を予定しております。



[2013/08/30 13:04 追記]
「ロリポップ!レンタルサーバー」への攻撃に関し、
被害拡大の防止を最優先として、現在、先にご報告させていただいた各対策を進めております。

各対策の進捗につきましては、当ページにて随時ご報告してまいります。
お客様には多大なご心配・ご迷惑をお掛けし、深くお詫び申し上げます。

次の状況ご報告は、本日17時頃を予定しております。



[2013/08/30 10:00 追記]
「ロリポップ!レンタルサーバー」への攻撃に関し、
被害拡大の防止を最優先として、現在、先にご報告させていただいた各対策を進めております。

各対策の進捗につきましては、当ページにて随時ご報告してまいります。
お客様には多大なご心配・ご迷惑をお掛けし、深くお詫び申し上げます。

次の状況ご報告は、本日13時頃を予定しております。



[2013/08/30 07:05 追記]
ひきつづき対応しております「ロリポップ!レンタルサーバー」への攻撃に関して、最新の情報をご報告いたします。

昨日、サーバーのセキュリティを確保するため、やむを得ずCGIやPHPで旧来のフルパス指定での利用を停止いたしましたが、同等のセキュリティを維持した状態で旧来のフルパス指定のままご利用いただけるようになりました。

各対策に進展がある場合は、当ページにて随時ご報告いたします。
お客様には多大なご心配・ご迷惑をお掛けし、深くお詫び申し上げます。

次の状況ご報告は、本日10時頃を予定しております。



[2013/08/30 04:13 追記]
ひきつづき対応しております「ロリポップ!レンタルサーバー」への攻撃に関して、最新の情報をご報告いたします。

[対策について]
2013/08/29 22:40 にご報告した対策に加えて、お客様のデータベースの安全性を確保するため、ロリポップ!レンタルサーバー上にある全てのWordPressで使用しているデータベースのパスワード、および該当するデータベースを使用しているCMSの設定ファイル上のパスワードの書き換えを行います。

詳細につきましては、該当のお客様にメールにてご連絡いたします。
お客様には多大なご心配・ご迷惑をお掛けし、深くお詫び申し上げます。

次の状況ご報告は、本日7時頃を予定しております。



[2013/08/30 01:03 追記]
ひきつづき対応しております「ロリポップ!レンタルサーバー」への攻撃に関して、当社では被害拡大の防止を最優先として、各対策を進めている状況です。

各対策に進展がある場合は、当ページにて随時ご報告いたします。
お客様には多大なご心配・ご迷惑をお掛けし、深くお詫び申し上げます。

次の状況ご報告は、本日4時頃を予定しております。



[2013/08/29 22:40 追記]
継続対応しております「ロリポップ!レンタルサーバー」への攻撃に関して、現時点で調査により判明した事実および対策についてご報告いたします。

[対象のお客様]
「ロリポップ!レンタルサーバー」のユーザーサーバーにおいてWordPressをインストールされている一部のお客様(8,438件)

[現在までに判明している被害状況]
WordPressのプラグインやテーマの脆弱性を利用し、不正なファイルがアップロードされました。
またそのファイルを利用し、wp-config.phpの設定情報が抜き出されることにより、データベースの書き換えが行われ、WordPressサイトが改ざんされました。


[対策について]
1)サーバーの設定を変更しセキュリティを確保するため、やむを得ずCGIやPHPで旧来のフルパス指定を利用できないように変更いたしました。なお、この変更の影響によりプログラムが正常に動作していないお客様のアカウントについては順次対応を行い、対象となるお客様には完了後メールにてお知らせをいたします。

2)外部からの攻撃を防ぐためにロリポップ!ユーザーサーバー上にあるすべてのwp-config.phpのパーミッションを「400」に変更しました。
(8月29日 16時13分完了)

3)ロリポップ!ユーザーサーバー上にあるすべてのファイルに対してウィルススキャンを実行し、不正なファイルを検知した場合には、アクセスができないようにパーミッションを「000」へ随時変更します。

4)3)において不正なファイルを検知したお客様のサーバー領域へ再度不正なファイルが仕込まれないようにWAF(Web Application Firewall)を随時有効にして参ります。

一刻も早く解決するよう最優先で対策にあたっておりますが、データ量が膨大なため、完了に時間を要することが想定されております。

お客様には多大なご心配をお掛けしており、深くお詫び申し上げます。
次の状況ご報告は、8月30日 午前1時頃を予定しております。



[2013/08/29 19:26 追記]
継続対応しております「ロリポップ!レンタルサーバー」への攻撃に関して、現時点で行っている対策および調査により判明いたしました事実についてご報告いたします。

[現在までに判明している被害範囲]
本件で攻撃を受けた対象のお客様の数につきまして、当初(本日 10時57分)発表しておりました4,802件に加え、新たに3,636件の被害を確認いたしました。
前回発表分とあわせて合計8,438件が現在当社で被害を確認しているお客様となります。
新たに判明した3,636件につきましても、前回同様の対策を講じております。

[対策について]
全サーバの全ファイルに対するウィルススキャンを引き続き実行しております。
現在の進捗状況は約60%となっております。
発見された不正ファイルについてはパーミッションを「000」に変更し、該当ファイルにアクセスできないよう対策を行っております。

引き続き多くのお客様にご迷惑をお掛けいたしますこと、深くお詫び申し上げます。
次の状況ご報告は、本日22時頃を予定しております。



[2013/08/29 16:33 追記]
継続対応しております「ロリポップ!レンタルサーバー」への攻撃に関する、調査と対策につきまして現在の進捗をご報告いたします。

1)ロリポップ!のユーザーサーバー上にあるWordPressについて、全ユーザーのすべてのwp-config.phpファイルのパーミッションを「400」に変更する作業が完了いたしました。

2)引き続き、全サーバの全ファイルに対してウィルススキャンを実行しております。現在の進捗状況は約50%となっております。
発見された不正ファイルについてはパーミッションを「000」に変更し、該当ファイルへのアクセスできないよう対策を行っております。

なお、ただいま被害拡大を防止する対策を継続しておりますが、現在までの調査で、本日10時57分時点で発表させていただいた被害件数4,802件より増える可能性が出てまいりました。
被害拡大防止対策と同時に、サイト被害状況を早急に確認しておりますので判明次第、改めて本サイトでご報告させていただくと共に、対象のお客様へは、ご登録メールアドレス宛に別途、メールで詳細をご報告する予定でございます。

この度は多くのお客様にご迷惑をお掛けしておりますこと深くお詫び申し上げます。
次の状況ご報告は、本日19時頃を予定しております。




[2013/08/29 13:26 追記]
本日10:57 にお知らせしております「ロリポップ!レンタルサーバー」の対策につきまして現在の進捗をご報告いたします。

1)セキュリティ面の強化の為、対象となるサーバー領域に設置されているWordPressにおいて、wp-config.php のパーミッションを「400」に変更いたしましたが、さらなる被害拡大を防止する対策として、被害が確認されていないWordPressサイトにつきましても、wp-config.php のパーミッションを「400」に変更する作業を進めております。

本対策の対象となったお客様には変更作業が完了次第、ご登録メールアドレス宛に別途、メールで本件をご報告いたしますので、ご一読くださいますようお願い申し上げます。

※詳細につきましては、先のお知らせをご確認ください。

2)引き続き、全ファイルに対してウィルススキャンを実行しており、現在の進捗状況は約33%となっております。
不正なファイルを検知した場合、全該当ファイルのパーミッションを「000」に変更し、該当ファイルにアクセスできないようにします。


この度は多くのお客様にご迷惑をお掛けしておりますこと深くお詫び申し上げます。
次の状況ご報告は、本日16時頃を予定しております。


[2013/08/29 10:57 掲載]
現在、当社が提供しているサービス「ロリポップ!レンタルサーバー」において、第三者からの大規模攻撃によりWordPressをご利用中のお客様のサイトが改ざんされる被害が発生いたしました。「ロリポップ!レンタルサーバー」をご利用のお客様には、多大なるご迷惑をおかけしており大変申し訳ございません。

現在までに当社で把握できた被害状況についてご報告いたします。


[対象のお客さま]
「ロリポップ!レンタルサーバー」のユーザーサーバーにおいて
WordPressをインストールされている一部のお客さま(4,802件)


[現在までに判明している被害状況]
大規模な攻撃によりWordPressをご利用中のお客様の管理画面から
不正アクセスにより、データの改竄や不正ファイルの設置がされた。


[対策について]
1)セキュリティ面の強化の為、上記のお客様のサーバー領域に設置されているWordPressにおいて、wp-config.php のパーミッションを「400」に変更いたしました。

本対策の対象となったお客様におかれましては、ご登録メールアドレス宛に別途、メールでも本件をご報告しておりますので、ご一読くださいますようお願い申し上げます。

wp-config.php は WordPress の動作に必要な設定情報が書き込まれたファイルです。
この変更によるサイトの動作等への影響は無いことを確認の上、変更を行っておりますが、万が一サイトの動作等でご不明な点がございましたら『お問合せ( URL:https://lolipop.jp/support/inq/ )』よりご連絡ください。



2)全ファイルに対してウィルススキャンを実行し、不正なファイルを検知した場合、パーミッションを「000」に変更いたします。

この度は調査に時間が掛かっておりますこと、また多くのお客様にご迷惑をお掛けしておりますこと深くお詫び申し上げます。
今後の状況については、引き続き、進捗があり次第ロリポップ!サービスサイト( http://lolipop.jp/info/ )でご報告してまいります。
現在のところ本日13時頃を予定しております。


[2013/08/29 02:20 掲載]
平素はロリポップ!をご利用いただき誠にありがとうございます。

現在、第三者からの大規模攻撃により、ロリポップ!においてWordPressをご利用中のお客様のサイトが改ざんされる被害が発生しております。

ただいま被害状況ならびに原因を調査中でございます。
状況の進捗があり次第、本ページならびにTwitter
https://twitter.com/lolipopjp )でご報告してまいります。

また本件に関して、一部サイトに接続しづらい状況が発生することが予想されます。お客様にご不便をお掛けいたしますが、何卒ご理解賜りますようお願い申しあげます。

サイトが改ざんされたことが確認できたお客様へは個別にメールでのご連絡を差し上げますのでご一読の上、対応いただけますようお願い申しあげます。

お客様におかれましては、被害拡大を防止するため、
先ほどご案内しております
『【重要】WordPressをご利用のお客様へ』
( URL:http://lolipop.jp/info/news/4148/ )をご一読いただき、ご対応くださいますようお願い申しあげます。

ロリポップ!をご利用の皆様には、ご不便ご迷惑をおかけし、
誠に申し訳ございません。

本日8月29日(木)午前11時に、被害状況ならびに原因について、
同時刻時点までに判明した情報を本ページにおいてご報告する予定です。

このエントリーをはてなブックマークに追加

カテゴリー: 新着情報

お知らせのトップへ