ロリポップのハッキング被害ドキュメント②:犯行声明と被害拡大について

2013年8月29日

犯行声明から被害拡大までを時系列でまとめました

ハッキング被害

2013年8月28日に発生し、多くのサイトが被害に遭った「ロリポップのハッキング騒動」。当ブログ「りくまろぐ」も第1次攻撃で被害に遭いました。

当初は自分自身が体験したハッキング騒動の全容を速報記事として公開し、新事実が判明する度に補足を追記していきました。その結果、1記事のボリュームが大きくなり過ぎ、ものすごい長文で読みづらかったため、複数記事に分割して再公開しています。

注意


再びハッキング被害に遭ったわけではありません。2013年8月に執筆・公開した記事を分割した内容ですので、誤解なさらぬようご注意ください。

今回の記事では、ハッカー側からの犯行声明、徐々に被害規模の全容が判明していく様子を時系列でまとめました。

もしも自分の運営サイトがあの時に当事者だったなら、あるいは被害はなかったものの同じサービス(=今回で言えばロリポップ)を利用していたとしたら、どう動いていれば良かったのだろう、という視点で読んで頂ければ幸いです。

被害が「ロリポップ」に集中していることを皆が悟り始める

ハッキング騒動の初日、2013年8月28日。自分のブログ「りくまろぐ」のハッキング被害に気付いたのが、午前9時頃。その後、情報収集をする過程で「WordPressフォーラム」や、速報として公開された「永江さんの記事」の存在を知ります。

午前9時過ぎの時点ではまだ投稿コメント数が3件しかなかった WordPressフォーラムの当該ページも、時間の経過と共にハッキング被害に遭った方々の投稿が増えていきます。

情報収集が進むにつれて、被害に遭った方々のサーバーが、ことごとく「ロリポップ」であることが分かってきました。

永江さんの記事では「被害サイトの大半がロリポップ」であることや、ロリポップの運営会社であるGMOインターネット社がロリポップとは別のサービスとして提供しているプロバイダー「interQ」のサイトも若干ながら被害を受けている、と解説されていました。

WordPressフォーラムでも被害サイトの報告は全てがロリポップ。ただ、5月28日午前の時点では被害の全容がまだ見えていませんでしたし、「たまたま」ロリポップのサイトに被害が集中しただけなのではないか、という可能性もありました。

ロリポップは利用料金が安く、WordPressを簡単に導入できるサービスもあり、サイトやブログを初めて作ってみようという人にとって選択肢に入りやすく、人気も高かったのです。私自身、初めて独自ドメインで運営を開始して以降、ずっとロリポップのサービスを使い続けてきました。

1回目の犯行声明で自分のドメインを発見し、戦慄する

8月28日の午後、ハッカーと思われる人物(あるいは団体)が Facebookページで犯行声明を出している、ということが判明しました。Twitterで知ったのですが、直後にWordPressフォーラムでも情報共有がありました。

ひとくちメモ


犯行声明が掲載された Facebookページは現在消滅しています。

そのFacebookページの犯行声明には、ハッキングにより破壊されたブログやサイトのドメインが公開されていました。その数は「576」。

その576個の被害ドメインの中に、当ブログ「りくまろぐ」のドメイン「rikumalog.com」もありました。発見した時は悲鳴に近い声を発し、大きなショックを受けました。

また、犯行声明文の中には被害サイト群のリストの他に、「R.I.P lolipop part 1」という表記もありました。

ひとくちメモ


「R.I.P」は「Rest In Peace」の略で、直訳すると「ロリポップよ、安らかに眠れ」。

言葉の真意は今も不明です。額面通り受け取るならば、今回のハッキングは特定のサイトやブログが選別されて攻撃されたのではなく、ロリポップの共有サーバーそのものが標的だったということになります。

もう1つ気になったのが「part 1」とあったこと。つまり8月28日午前の時点で判明していたハッキング被害は「第1次攻撃」の被害者だ、というニュアンスに見えます。つまり、この後も第2第3のハッキング攻撃があるのではないかと。

この辺りでWordPressフォーラムやSNSでは「ロリポップがターゲットではないか?」「ハッキング攻撃はまだ終わっていないのではないか?」という空気が醸成され始めます。

そして事実、被害規模はどんどん拡大していきます。

初日の時点で3,500件超の被害が判明

8月28日の午後7時50分、以下の投稿が WordPressフォーラムに追加されました。

Hacked by Krad Xin で検索した日本語サイト3560件のうち
トップから、9件ドメインを調べてみましたが、すべてlolipopのようですね

引用:WordPressフォーラム

同一サイト内の複数記事がヒットしている可能性もあるので、単純に「3,560個のサイト」ではない可能性もありますが、最初の犯行声明で晒された(当ブログを含む)576個のサイトよりもまだまだ数は多いぞ、という認識が形成されました。

ただ、それが第1次攻撃で既に被害を受けていた数なのか、それとも第2次攻撃以降の数なのかは分かりません。

2回目の犯行声明、その後も被害数が拡大

日付変わって8月29日の午前7時過ぎ、ハッカーの Facebookページにて2回目の犯行声明があった、とWordPressフォーラムで報告がありました。

patriotism or something?
but the main thing is it’s fun to you and the cyber politics
dirty bd cyber politics
R.I.P lolipop
2900+ (maybe)

引用:WordPressフォーラム

最後の行に「2900+」と数字があることから、最終的には2,900個を超えるサイトやブログをハッキング攻撃で破壊したというアピールのようにも見えます。

この2回目の犯行声明の際、新たにハッキング被害の対象となったドメインのリストが公開されました。以下のURLから閲覧できます。

その数、3,114個。あまりの多さに絶句しました。

参考Hacked by Krad Xin – japan

第1次攻撃でハッキング被害に遭った当ブログのドメイン(rikumalog.com)は上のリストには載っていません。つまり、上のリストにある3,114個のドメインは第2次攻撃によって被害に遭った可能性が高いと思われます。

私が2回目の犯行声明と被害ドメインのリストを確認したのは、8月29日の午前9時頃。自分自身のブログのハッキング被害に気付いてから24時間が経過していました。

その日の午前、SNSやメールで「うちのサイトも被害に遭った」と複数の友人知人から連絡があり、上のリストで探したところ、全員のドメインが掲載されていました。今回の一連の攻撃でハッキング被害に遭ったのは間違いないようです。

8月29日の午前10時57分、標的となったロリポップがようやく、最初の被害状況を公表。これによればハッキング被害サイトの数は「4,802」となっていました。

さらに、8月29日の午後19時26分に公開されたロリポップの追加発表によれば、午前中に発表された4,802件に加え、新たに3,636件の被害を確認し、合計8,438個ものドメインがハッキング被害に遭っていたことが判明しました

ブログ記事の公開を急いだ理由

ハッキング被害に遭った後、復旧作業が一段落してから、今回の騒動について速報的に記事を書き、公開しました。被害の全容が明らかになっていない段階で、大急ぎで記事を書き上げ公開した理由は2つありました。

1つは、午前中にブログが破壊され、何も表示されず真っ白になっていたことや、各記事の検索結果にハッカーの名前が混じるなど、明らかにネガティブなイメージがブログに付いてしまったと感じ、そのイメージを少しでも早く払拭したかったので、「うちのブログは現在復旧してます!」ということを早急に拡散したかったから。

もう1つは、注意喚起です。セキュリティーに関してはほとんど無知ながら、こういう対策をしておけば大丈夫だという情報はWordPressフォーラムなどで収集していたし、それを実際に自分のブログで実施していましたから、「同じように被害に遭わないか、気になる人はこんな感じで対策しておきましょう!」と伝えたかったのです。

うちのブログが今回の記事を公開した後、被害に遭われた運営者の方々が続々と記事を公開し始めました。さらに「いまロリポップで大変なことが発生している、皆さん気を付けて」と、ロリポップを利用していないにもかかわらず、私の記事を紹介して頂いた上で、注意喚起に協力して下さったブロガーさんが多数いました。大変ありがたく心強かったです。

ハッキング被害に遭ったと気付いてからは、ものすごく落ち込みました。なんせそんなことは初体験だったし、自分の無知、無力さをあらためて認識させられました。

記事を公開後、交流のある方々だけでなく、交流したことのない知らない方々からも、たくさんの慰め・激励・アドバイスの言葉を頂きました。ものすごく落ち込んでいたので、皆さまの声で活力を取り戻せたこと、大変感謝しております。この場をお借りして、本当にありがとうございました

対応した人、しなかった人

今回、注意喚起のためにブログの公開を急いだのは、ここまで記事を読んで下さった方々ならもうお分かりかと思いますが、「R.I.P lolipop part 1」という犯行声明の内容にありました。

ただの愉快犯的な挑発・はったりと捉えた人もいましたし、「ロリポップのサイトを標的としている」「今後もハッキング攻撃は続行する」という示唆だと額面通りに捉えた人もいました。私は後者だったし、同じように危機感を感じていた人は被害初日(5月28日)の時点で SNS上に多数いました。

「自分もロリポップだけど今回セーフで良かった〜」と言ってる人がたくさんいました。その人達に何度も重ねて注意喚起をしました。「まだハッキング攻撃が来るかもしれないですよ」「今のうちに恒久対応をして備えておいて損はないですよ」と。

参考ロリポップでブログを使っている私が行った乗っ取り対策5点。 | りんろぐ。

参考[ブログ]未だやまないWordPressブログへの不正アクセス!IDとPassword大丈夫? | Macと過ごす日々wp

実際に危機感を持って防衛策を講じ、記事を執筆して公開された方々もいました。

一方で「自分は被害に遭ってない、セーフだった」という反応はしつつ、他人事だと捉えたのか、第2次攻撃で残念ながらハッキング被害に遭った知人も複数いました。1次攻撃のことを知らなかったはずはないのです。なぜなら私に「うちのロリポップのサイトはセーフだった」と言ってきてるのだから。

私自身がハッキング被害を受け、とても悲しく悔しかったから、特に交流している仲の良い人たちには同じ悲しい気持ちにはなって欲しくなかった。なので注意喚起を急いだのです。ましてや、ロリポップが標的で、まだ2次3次の攻撃があるかもしれないと、私だけでなくいろんなサイトが警告を発していました。

それでも対策を講じず、結果的にハッキング被害に遭った人がいる。とても気の毒に思った一方で、複雑な気分にもなりました。外国風に言うなら「I told you so (だから言ったのに)」です。

まとめ

最初のハッキング被害が明るみに出た時点で、しっかりと対策を講じたはずなのに、それでも2次攻撃でハッキング被害に遭った人がいるかもしれません。逆に、何も対策を講じていなかったけど、ハッキング被害には1度も遭わなかったという人もいるでしょう。

全てのロリポップユーザーが被害に遭ったわけではなく、ロリポップが保有する大量の共有サーバーのうちの一部分が脆弱性などを理由に侵入され、そのエリアに属していたユーザーたちのサイトが一斉に攻撃を受け破壊されたということのようです。

このことに関して、対応や公式発表がことごとく後手後手になったばかりか、ハッキングの1次被害を受けた初日(8月28日)、被害者や周辺の人たちが大混乱をしていた正にその時に「ハッキングの事実はない」という声明を出していた、ロリポップの運営会社には多大なる責任があると感じています。

そのあたりは別記事にまとめました。

特集:ロリポップのハッキング事件

サーバー移転
ロリポップからシックスコアへのサーバー移転とテーマ変更が過酷すぎた
ハッキング被害
ロリポップのハッキング被害ドキュメント③:ロリポップ側の対応
ハッキング被害の復旧対策
ロリポップのハッキング被害ドキュメント①:復旧のため実施した作業内容

-WordPress
-