Webパブリッシングサーバの不正アクセス 2008/4/27

2008年4月27日午前6時頃から、Webパブリッシングサーバ(ソンニムによる更新)上のサイトのindex.htmlが不正に書き換えられる障害が発生しました。Webパブリッシングサーバ上のサイトのほとんどに影響が及んでいます。

現在、不正アクセスの全体状況を確認していますが、サーバのオペレーティングシステムは汚染されておらず、index.htmlおよびindex.htmlに類するファイルが書き換えられ、内容が破壊されています。
そのため、システム側で不正に書き換えられたindex.htmlを削除し、書き換えを行ったIPアドレスからのアクセスを禁止するとともに、書き換えを行ったソフトウェアの実行を禁止しました。

なお、index.htmlが書き換えられたフォルダについては、そのindex.htmlを削除したため、サイトにアクセスすると「Forbidden」が表示されます。
この場合、お手数ですが、各フォルダのindex.htmlを再度アップロードしなおしてください。ただし、ファイル名がindex.htmlと似たファイル(index.htmやindex-1.html、index.jpgなど)も破壊されています。そのため、サイトのデータを改めてアップロードしなおすことをお勧めします。

現在のところ、index.htmlの書き換え(およびindex.htmlに類するファイルの追加)以外の被害は確認されていません。ソンニムによる更新も正常に実行できます。

不正な書き換えが行われた詳しい原因は現在調査中ですが、現在までにわかっているところでは、管理されていないと思われるアカウントを通じてファイル管理ソフトが送り込まれ、そのソフトがindex.htmlの書き換えをしていました。ファイル管理ソフトが送り込まれた経路は現在調査中です。
ファイル管理ソフトは、PHPで記述されたソフトで、本来は、Webパブリッシング・サーバでのPHPの実行は許可されていません。しかし先月システム・バージョンアップを行ったときに、新しいシステムがユーザーのフォルダでPHPの実行を許可する設定になっていたため、PHPの権限でのユーザーファイルの書き換えが可能になっていました。

この不正アクセスは、HTTPの実行権限で実行されています。具体的には、ウェブサーバの権限内での不正アクセスで、他のパーミッションのファイルには影響がありません。パスワードや管理情報などの流出について調べましたが、オペレーティングシステムのセキュリティで保護されているこれらの情報については不正なアクセスはありませんでした。HTTPの実行権限でも、非公開の情報に対する不正なアクセスは現在のところ、確認されていません。
また、Webパブリッシング・サーバ以外のサーバ(会員用サーバなど)は、異なるサーバで動作しているため、今回の不正アクセスの影響を受けません。

不正アクセスの原因になっていたファイル管理ソフトが送り込まれた経路に関する調査と、再発の防止対策について、今後このサイトで継続的にお知らせしていきます。
この件に関してのお問い合わせは、直接、サーバ管理者直通電話宛にご連絡ください。