【当サイトはアフィリエイト広告を利用しています】

ロリポップのハッキング被害ドキュメント③:ロリポップ側の対応

2013年8月29日

ロリポップ側の対応について時系列でまとめました

ハッキング被害

2013年8月28日に発生し、多くのサイトが被害に遭った「ロリポップのハッキング騒動」。当ブログ「りくまろぐ」も第1次攻撃で被害に遭いました。

当初は自分自身が体験したハッキング騒動の全容を速報記事として公開し、新事実が判明する度に補足を追記していきました。その結果、1記事のボリュームが大きくなり過ぎ、ものすごい長文で読みづらかったため、複数記事に分割して再公開しています。

注意


再びハッキング被害に遭ったわけではありません。2013年8月に執筆・公開した記事を分割した内容ですので、誤解なさらぬようご注意ください。

今回の記事では、WordPressフォーラムで事件の全容が徐々に判明していく中、ハッカーからの標的となった「ロリポップ」側の対応について時系列でまとめました。

問い合わせても反応なし、公式発表もなし

最初のハッキング被害が判明したのは8月28日の午前。すぐに対応できた運営者は午前のうちに暫定的な、あるいは恒久的な対応を済ませ、ひとまずサイトやブログの復旧作業は進んでいました。

28日の午後になり、当ブログの速報記事や、ハッキング被害を受けたブロガーさんたちが被害状況や対策内容などを記事として公開。これによりハッキング被害があったことを世間が認知し始めます。

さらにはハッカーから1回目の犯行声明が出たこと、その中に「ロリポップを挑発する内容」が含まれていたことで、ハッカーの攻撃対象がロリポップではないかということ、またハッキング攻撃は1回だけに留まらず、2回目3回目と続きがあるのではないかという情報も共有され始めていました。

この間、標的にされているはずのロリポップ側からは何のリアクションもありませんでした。

私自身、復旧作業が完了した時点では「自分のブログが直接攻撃された」と思い込んでいました。その後、WordPressフォーラムで投稿者の皆さんによる検証や考察を見て、「個人ではなく、ロリポップの一部共有サーバーに属するサイト群がまとめて被害に遭っている」ということを知ります。

当然ながらロリポップ側には問い合わせをしました。ロリポップにある自分のブログがハッキング攻撃により破壊されたことの報告に加え、犯行声明で次の攻撃を示唆する内容もあり、今回は被害に遭わなかった運営者も近い将来に再攻撃で被害に遭うかもしれないこと、防衛策として出来ることがあるならば公式に発表したほうがいいのではないですか? といった内容を送りました。

もちろん、第1次攻撃でハッキング被害に遭った自分のブログが、第2次攻撃で再びハッキング被害に遭う可能性すらあったのです。知識が乏しいながらも対策は講じたけれど、それが徒労に終わるような高度なテクノロジーを駆使して再びブログが破壊されたら? 1回目でも打ちのめされたのに、2回も被害に遭ったら?

それが怖くてたまらなかった。だからロリポップ側には何かしらの早急な説明を求めたのです。

しかし、ロリポップ側から返ってきたリアクションは、システムが自動返信したメール、1通だけでした。今回のハッキング騒動に関しては1文字すら触れられておらず。

また同時にロリポップの公式サイトも頻繁に閲覧し、お知らせのページを何度もリロードして、ハッキング被害に関する最新の情報がないかを待ち続けました。数時間ほどチェックしていましたが、公式発表はされず。あきらめて公式サイトをブラウザから消しました。

ようやく公式発表、しかしハッキング被害を否定

夜になり、ようやくロリポップ側からハッキング被害に関するリアクションがありました。まず最初に気付いたのはロリポップの公式Twitterによるツイート。時刻は8月28日の午後9時でした。

「なお、ロリポップサーバーへのハッキングなどの事実はございません」とあります。

どう対策すればいいのか困っているサイト運営者、大変不安になっている運営者が大勢いて、待ち侘びていた公式発表がようやく出たと思ったら、「ハッキングの事実はない」と言われる。じゃあ私たちはどうしてこんなにも大騒ぎしているのか。

同日、8月28日の午後10時過ぎには、WordPressフォーラムにロリポップの公式アカウントから最初の投稿がありました。上のツイートと同じく、ロリポップの公式サイトに誘導するリンクの紹介と、その時点でのロリポップ側の公式見解(=ハッキングの事実はない)が述べられています。

【ロリポップ!をご利用中のお客様へ】
ロリポップ!公式アカウントです。
現在、ロリポップ!サーバー自体に対するハッキングの事実はございません。
お知らせにも掲載させていただいておりますとおり、
WordPress のログイン ID とパスワードに脆弱な文字列を使用している場合に、
管理画面へ不正にログインされる事例を多数確認しております。
不正利用を防ぐため、お知らせに掲載している対策を必ず行っていただきますよう
お願いいたします。

ご自身でWordPressのIDやパスワードの設定変更などを行っていただくことが、
お客様のサイトを守ることにもつながりますので、
引き続き、ご協力をお願いいたします。

引用:WordPressフォーラム

「ログインIDとパスワードが脆弱なサイトが不正にログインされる」というのは分かります。ただ、それって今回の件と関係ないのでは? というのが第一印象。

あるいは、ハッキングの第1次攻撃で被害を受けた(うちのブログを含めた)サイト群は、個々のセキュリティーが脆弱だったのが原因です、とでも言いたかったのでしょうか。

おそらく午後9時の段階で、ハッキング被害に遭ったと認識したサイトの数はそれなりにあったはずだし、ロリポップ側への問い合わせもゼロではなかったはずです。事実、私自身も問い合わせをしたし。

にもかかわらず、問い合わせ内容が社内で共有されておらず、ロリポップでハッキング被害の報告は受けてませんよ、と真顔で言っていたのか。

あるいはハッキングの被害状況を大なり小なり把握できていたにもかかわらず、すっとぼけて「うちは知りません」と言ったのか。

参考2013/08/28 【重要】WordPressをご利用のお客様へ

ロリポップの公式サイトにおける最初の発表でも「ハッキングの事実はない」と明言。他の箇所を要約すると、大きく2点。

  • IDとパスワードは10桁以上の特定されにくい文字列にしよう
  • 「.htaccess」に記述を追加して、wp-login.phpへのアクセス制限を実施しよう

1番に関しては「今回の問題はそれではない」し、2番に関しては、あまりセキュリティーとか詳しくない初心者のロリポップ運営者さんたち、あの難解な解説では理解できなかったんじゃないですかね。

運営会社社長が拡散情報に反論し、炎上

8月28日の早い段階で、ハッキングの騒動に気付かれた永江一石さんという方が記事を公開。この記事でハッキング被害を知った人は大勢いたでしょうし、「うちもロリポップだから危ないかも!」と危機感を持ち、早めの対応策を実施した方々もおられたと思います。

参考【緊急警報!!】ロリポップとGMOのinterQのWordPressが軒並み乗っ取られてます

日付が変わって8月29日の深夜0時、永江さんのハッキング騒動に関するツイートに対し、ロリポップの運営会社であるGMOインターネット社長(当時)の熊谷氏が反論ツイートを発信。

リアルタイムではこのやり取りを見ておらず、後で知ったのですが、永江さんは記事拡散のツイート内で、記事の中では触れていない株価に関しても言及があり、それに対して熊谷氏が立腹し、上の反論を発信したようです。株価に言及した永江さんのツイートは指摘により削除されており、削除後に一連のツイートの流れを見てみると、突然熊谷氏が怒り始めたようにも見えます。

このやり取りに関して、9月8日に社長の熊谷氏から謝罪と釈明の記事が公開されました。

参考ロリポップ改ざん被害のお詫び。私の発言についてのお詫びとご説明。 | クマガイコム

削除された永江さんのツイート内容もありますし、それらの情報を「風説の流布」と危惧して熊谷氏が立腹したのも理解できます。

ただ、永江さんはハッキング被害について大変詳しく解説された記事を公開し、追記を重ねて注意喚起をされていたのです。デマを流していた訳ではありません。

その人に対して、それまで沈黙を貫いていたロリポップの、それも経営トップにあたる人物が、「情報配信への感謝」「ユーザーに対する謝罪」「現在の調査進捗」などの内容ではなく、いきなり「事実でなかったらどう責任を取るつもりなんですか?」と恫喝に近い内容で反論したら、そりゃあ見てるみんなは怒りますよ。

当然ながら、このツイートが発端で熊谷氏やロリポップは大炎上となりました。私自身、翌朝にこのツイートのやり取りを見てキレました。

公式発表が出始める、しかし遅い

8月29日の午前2時20分、ロリポップの公式サイトに新しく「第三者によるユーザーサイトの改ざん被害に関するご報告」というページが立ち上がりました。以降、このページに追記していく形でハッキング被害の情報が更新されていきます。

午前2時20分、第1報

現在、第三者からの大規模攻撃により、ロリポップ!においてWordPressをご利用中のお客様のサイトが改ざんされる被害が発生しております。
ただいま被害状況ならびに原因を調査中でございます。

引用:「第三者によるユーザーサイトの改ざん被害に関するご報告」

「ロリポップでハッキングの事実はない」と一貫していた公式見解がようやく消滅し、初めて被害発生を認めています。

午前10時57分、被害件数の公表1回目

次の発表は午前10時57分。この数時間前にはハッカーによる2回目の犯行声明が出されており、被害に遭ったドメイン 3,114個のリストも公開され、被害拡大でみんなが衝撃を受けていた矢先でした。

現在までに当社で把握できた被害状況についてご報告いたします。

[対象のお客さま]
「ロリポップ!レンタルサーバー」のユーザーサーバーにおいて
WordPressをインストールされている一部のお客さま(4,802件)

引用:「第三者によるユーザーサイトの改ざん被害に関するご報告」

3,114個で衝撃を受けたのに、さらに多い「4,802件」という数字にますます衝撃を受けてしまいます。

同じタイミングで、以下の告知も書かれていました。

[対策について]
1)セキュリティ面の強化の為、上記のお客様のサーバー領域に設置されているWordPressにおいて、wp-config.php のパーミッションを「400」に変更いたしました。

本対策の対象となったお客様におかれましては、ご登録メールアドレス宛に別途、メールでも本件をご報告しておりますので、ご一読くださいますようお願い申し上げます。

引用:「第三者によるユーザーサイトの改ざん被害に関するご報告」

「wp-config.php」のパーミッションを「400」に変更するという点は、WordPressフォーラム内でも「これが最も有効」という肯定の空気が流れていました。

ただ、上の引用内容を見ると「ロリポップ側でパーミッションを400にしておきましたよ」「対象者にはメールを送るから確認してくださいね」と読み取れます。

なので、ロリポップ側からのメール連絡をひたすら待ちました。待っている間にFTPソフトなどでパーミッションを確認しましたが、2時間ほど経過しても「wp-config.php」のパーミッションは400にならない。そしてメールは来ない。

パーミッションを変更するくらいなら自分でも出来るので、ロリポップからの連絡が届くのを待つことなく、昼過ぎに自分で変更してしまいました。

その頃、WordPressフォーラムや SNSでも「ロリポップからメールが来ないんだけど」「自分でやったらマズいのかな」という意見がチラホラ出てきていました。フォーラムでは「変更作業が分かるなら待つ必要ない、自分で変更しよう」という意見も出たし、SNSでは知人たちに「俺も自分でやっちゃったし、メール待たずに変更しちゃって大丈夫と思うよ」と教えてあげてました。

結局、ロリポップから「パーミッションを400に変更しました」とのメール連絡が来たのは、8月29日の夜7時過ぎでした。遅い。遅すぎる。もう自分でやっちゃった後だよ。

午後7時26分、さらに被害拡大

[現在までに判明している被害範囲]
本件で攻撃を受けた対象のお客様の数につきまして、当初(本日 10時57分)発表しておりました4,802件に加え、新たに3,636件の被害を確認いたしました。
前回発表分とあわせて合計8,438件が現在当社で被害を確認しているお客様となります。

引用:「第三者によるユーザーサイトの改ざん被害に関するご報告」

3回目の公式発表では、被害件数が拡大し、8,400件を超えていることが発表されました。こうなるともう疑心暗鬼でしかありません。既に被害に遭った人も、まだ被害に遭っていなかった人も、ロリポップのユーザーは怯え続けたのではないかと思います。

この後も公式発表は不定期で更新され、1週間ほどは不安で落ち着かない日々が続きました。

ロリポップとの別離

「りくまろぐ」は、ハッキング被害は第1次攻撃での1度だけで済みました。しかし「安堵」などという心境にはとても達せず、不安と不信感がずっと続く状態でした。

うちのブログは、有名ブロガーさんと比べればアクセス数など比較するまでもない、ただの趣味の域を出ないブログです。ただ、それでも財産には違いない。記事を書くことによって友達も増えたし、記事を積み重ねたことで自分自身に還元できたこと、更なる財産となったことがたくさんあります。

そんな大切な存在を誰かの悪意で簡単に破壊されたら、たまったもんじゃない。その不安が今後も続くのは耐えられない。

初日と2日目、ロリポップ側の対応をリアルタイムで眺め、信頼度はゼロになりました。

さらには、今回書いたハッキング被害に関する記事がものすごいアクセスを集めてしまい、アクセス制限を食らってしまいました。ハッキングで画面が真っ白になり、復旧したと思ったら今度はアクセス増えすぎてダウンですよ。管理画面すら閲覧できない。笑えばいいのか泣けばいいのか。

これが決定打となり、ハッキング被害から2週間後の2013年9月中旬、「シックスコア」というレンタルサーバーサービスに移転しました。有名ブロガーさんが次々とシックスコアに移転しており、憧れもあったし、セキュリティーがかなりシッカリしていると聞いたので安心感がありました。

なぜ2週間後だったかというと、ハッキング被害により「初代」のWordPressテーマが破壊されたため、せっかくだからテーマを作り直そうと決断し、他人が作った無料テーマをカスタマイズして自分好みにするという作業を延々としてたのです。カスタマイズに不慣れだったので「2代目」が完成するまで2週間かかりました。

さらに2016年には、シックスコアから「エックスサーバー」に再度移転しました。

シックスコアは確かにセキュリティー万全で、表示も高速だし、とても快適だったんですけど、なんせ利用料金が高すぎたし、自分には贅沢すぎました。料金以外ではシックスコアに何の不満もなかったけれど、ブログで稼ぎまくるほど成功していないし金銭的余裕もなかったので、安価なエックスサーバーに移ったというわけです。

エックスサーバーと契約して数年が経過しましたが、今のところ大変快適です。こちらもセキュリティーは万全で、お財布にも優しいし、PHPバージョン変更やSSL化対応などの操作も大変分かりやすくて、まだ素人の域をそれほど出ていない自分には重宝しています。

特集:ロリポップのハッキング事件

サーバー移転
ロリポップからシックスコアへのサーバー移転とテーマ変更が過酷すぎた
ハッキング被害
ロリポップのハッキング被害ドキュメント②:犯行声明と被害拡大について
ハッキング被害の復旧対策
ロリポップのハッキング被害ドキュメント①:復旧のため実施した作業内容

-WordPress
-