gihyo.jp が改ざんされた件についてまとめてみる。。。
公式報告に関してはこちらにあります。
12/5、下記のツイートが公式アカウントよりなされました。
ただいま弊社サイトがご利用いただけません。原因確認中のため,今しばらくお待ちください。ご迷惑をおかけいたしまして申し訳ございません。
— gihyo.jp (@gihyojp) December 5, 2014
その後も、ツイートが下記の続いています。
ただいま弊社サイトがご利用できない状況です。原因確認中のため今しばらくお待ちください。ご迷惑をおかけして申しわけありません。
— gihyo.jp (@gihyojp) December 6, 2014
どうやら、さくらのVPS上でホスティングされており、当該コンパネへのアクセス権限を奪取された模様と考えていいでしょう。
そこから、WebサーバのマシンのOS入れ替えが行われ、今回の事件に発展したという経緯という感じでしょうか。
【本日11時ころより発生してる状況について】本日11時ころ,サーバ管理ツールに侵入されサーバそのものを入れ替えることにより,外部サイトにリダイレクトされるように設定されました。危険なサイトである可能性があるため,現状アクセスしないでください。
— gihyo.jp (@gihyojp) December 6, 2014
サーバOSそのものへの侵入ではなく,OSの入れ替えが行われたため,情報漏洩等は確認されておりません。詳細は後日改めてご報告いたします。
ご報告が遅れておりますことをお詫びいたします。— gihyo.jp (@gihyojp) December 6, 2014
【本日11時ころより発生してる状況について2】14時頃,管理会社と協力のもとコントロールを取り戻し,現在復帰作業中です。犯人の行動は特定されており,OS入れ替え以外の状況(サーバへのログイン等)は確認されておりません。原因も判明しておりますので,後日あらためてご報告いたします。
— gihyo.jp (@gihyojp) December 6, 2014
なお現在暫定的に一部環境において復帰しておりますが,本復帰ではありません。
— gihyo.jp (@gihyojp) December 6, 2014
【本日11時ころより発生してる状況について3】先ほど復旧いたしました。ご迷惑をおかけいたしました。
DNS更新のため仮サイトに接続されている場合がございます。仮サイトでは電子書籍サイト等ご利用いただけません。その場合はしばらくお待ちください。— gihyo.jp (@gihyojp) December 6, 2014
なお一部ご心配いただいておりますが,サーバはコントロール下にあり,管理会社含め監視を強化しております。
さまざまな憶測が流れておりますが,後日改めて説明いたしますのでお待ちください。— gihyo.jp (@gihyojp) December 6, 2014
インフォメーション「サーバ障害のお詫び」公開 http://t.co/Dm82I3JFrc
— gihyo.jp (@gihyojp) December 6, 2014
本件の対策は土曜日に行われ、翌週の月曜日に正式な公式発表がという形で正式に公表されたようです。
インフォメーション「弊社ホームページ改ざんに関するお詫びとご報告」公開 http://t.co/bYAzp3lXD8
— gihyo.jp (@gihyojp) December 8, 2014
このページもパブリッククラウドで運用されているため、この事件は人ごとでは済まされません。
技術評論社の方でも引っかかってしまうほど、うまくフィッシングサイトへ誘導された可能性があります。
また、公式見解の原因欄には、 “sakura.ne.jp” ドメイン上にホストされたフィッシングサイトのURLが記載されたメールが届き、リンクをクリックした旨が記載されていますが、実際には、さくらインターネットで提供される各種コンパネは “secure.sakura.ad.jp” ドメイン上でホストされています。
このことから、今回の場合は、さくらの共用ドメイン、共用SSLを利用して作成されたサイトに誘導された可能性が高いと思われます。
日本においてさくらのVPSは多く利用されているため、こういったスパムメール等からのURLで安易に操作しないようにしたいですね。
