「ロリポップ！レンタルサーバー」に大規模攻撃--WordPressサイト4802件が改ざん

　paperboy&co.は8月29日、同社の提供するレンタルサーバーサービス「ロリポップ！レンタルサーバー」（ロリポップ）において、第三者からの大規模攻撃により、WordPressを利用する顧客のサイトが改ざんされる被害が発生したことを発表した。

　対象となるのは、ロリポップのユーザーサーバーにおいてWordPressをインストールしている顧客4802件で、管理画面からの不正アクセスにより、データが改竄されたり不正ファイルが設置されたりしたという。

　これを受け、同社ではセキュリティ強化のため、顧客のサーバー領域に設置されているWordPressにおいて、wp-config.php のパーミッションを「400」に変更。また、全ファイルに対してウィルススキャンを実行し、不正なファイルを検知した場合、パーミッションを「000」に変更して該当ファイルにアクセスできないようにしている。8月29日13時26分時点でのウィルススキャンの進捗状況は約33％としている。

　なお、被害状況および原因は現在調査中としており、状況の進捗があり次第、ロリポップサイト上またはTwitterの公式アカウントで報告するとしている。

追記：8月30日14時25分

　同社は、当初4802件の顧客のサイトが改ざんされたと発表していたが、新たに3636件の被害を確認し、合計8438件の顧客の被害を確認したことを明らかにした。

　対策としては、8月29日の22時40分に、サーバーの設定を変更しセキュリティを確保するため、CGIやPHPで旧来のフルパス指定を利用できないように変更したことを発表したが、8月30日7時5分時点で、同等のセキュリティを維持した状態で旧来のフルパス指定のまま利用できるようになっている。

　また外部からの攻撃を防ぐために実施した、ユーザーサーバー上にあるすべてのwp-config.phpのパーミッションの変更は、8月29日16時13分に完了。ユーザーサーバー上にあるすべてのファイルに対してウィルススキャンを実行し、不正なファイルを検知した場合には、アクセスができないようにパーミッションを「000」へ変更している。不正なファイルを検知した顧客のサーバー領域へ再度不正なファイルが仕込まれないようにWAF（Web Application Firewall）を随時有効にしている。

　さらに顧客のデータベースの安全性を確保するため、ロリポップ上にあるすべてのWordPressで使用しているデータベースのパスワード、および該当するデータベースを使用しているCMSの設定ファイル上のパスワードの書き換えを実施している。