ロリポップ！の大量クラック（ハッキング）の対応を振り返って、改めてサポートの重要性を痛感する

大量クラックへのロリポップ！の対応の流れ

自分の知る限り、簡単に時系列に事の流れを簡単に解説してみます。

1. WordPressのフォーラムにロリポップ！利用者から改ざんされた報告が上がる
   

   8/28 WordPressのフォーラムにロリポップ！利用者から改ざんされた報告が上がります。 それに付随して、「私も私も」と同様にロリポップ！利用者からの改ざん報告が、次々に上がってきます。
   
   

   犯行声明によれば、このフォーラムが立ち上がる数日前にサイトの改ざんが実行されていることになりますから、 フォーラムが立ち上がったと同時に、「私も私も」と増えていったのもわかりますね。
   
   
2. 永江一石さんのブログからロリポップ！利用者から改ざんされた記事が投稿される
   

   8/28 同日、永江一石さんのブログからロリポップ！利用者から改ざんされた記事が投稿されます。 これが、多くの方の目にされた第一報ではないかと思います。 この状況をみていた者としては、永江一石さんのブログの破壊力を目の当たりにした感じがしました。情報は、瞬く間に広がっていきました。
   
   

   個人的にも、この永江さんのブログは、参考になるこも多いのでよくチェックさせていただいています。
   
   
3. ロリポップ！から第一報がツイートされる
   

   8/28 同日、永江一石さんのブログとあまり変わらないくらいで、ロリポップ！からツイート、ホームページでの状況報告が投稿されます。 このころが、ロリポップ！のユーザがロリポップ！サポートへ問い合わせが殺到し始めたころではないかと思います。
   
   

   ロリポップ！も、当初は、Wordpressのセキュリティの甘いサイトが、数件（多くて数十件程度）、改ざんされたんだろうぐらいの感じでしたね。
   このツイートからも、 ロリポップ！のサーバー自体へは、侵入されていないので、各ユーザのパスワードは流出していない・・・ つまり、Wordpressを管理している個人のセキュリティの甘さが原因で、改ざんされたんでしょう・・・ ぐらいの感じですね。
   
   この初動のツイートは、致命的でしたね。ここで、本格的に対応に入っていたら、印象も変わったのですが・・・・。
   
   
   
4. ロリポップ！サポートが、永江一石さんへツイートする
   

   8/28 同日、永江一石さんのブログを確認したロリポップ！サポートは、「ロリポップ！のサーバーへの侵入された痕跡はない」旨をブログで追記してくれとツイートされたようです。 永江一石さんのブログには、以下のように追記されました。
   
   

   このロリポップ！サポートからのツイートもいただけませんでしたね。 これ以上増えることはない・・・改ざんされたのは、あくまでユーザのセキュリティの甘さが原因と言わんばかりです。
   
   確かに、まず第一に調査すべきは、サーバー自身への侵入の有無です。
   これは間違いありませんが、次にやるべきは、クラックされたWordpressのサイト調査をすべきであって、事態の収束宣言ではありません。 どこぞの総理大臣が宣言して、ポロポロとボロが出てきたのと同じで、デジャブでもみてるかのようです。
   
   
5. ＧＭＯ社長熊谷さんが、永江一石さんへツイートする
   

   8/28 同日、今度は、永江一石さんのブログを確認したＧＭＯ社長熊谷さんが、先ブログ記事が「風説の流布になります」という旨をツイートされたようです。
   
   永江一石さんのブログで、反論されておりますが、ここでは、割愛。

   わざわざ、なんで社長がツイートしちゃったんでしょうね。
   これで、さらに会社ぐるみで印象を悪くした感じです。28日は、まだまだ、不明な点も多かったのでは、仕方ない部分も多いと思わなくもないですが、29日になっても、まだ、ツイートしてますから、かなり、厳しいですね。
   
   
6. ロリポップ！から改ざんサイトの対応がホームページにて正式公開される
   

   8/29 ロリポップ！は、改ざんサイトの対応を本格的に開始？したんじゃないかと思います。ホームページに 「当社サービス「ロリポップ！レンタルサーバー」ユーザーサイトへの第三者による大規模攻撃について」と題して掲載を始めます。
   
   

   このあたりで、Wordpressサイトのクラックの侵入経路を解析し始めたんじゃないかなぁと思います。 さらに、改ざんのサイト数の多さを確認したのもこのころだと思います
   
   
7. ロリポップ！から改ざんサイトが拡大していることが報告される
   

   8/29 ロリポップ！は、今回の一連の事象の事の重大さに気づいたのは、このあたり？じゃないかと思います。ホームページに 「当社サービス「ロリポップ！レンタルサーバー」ユーザーサイトへの第三者による大規模攻撃について」で以下のように拡大状況を報告しています。
   
   

   改ざんのサイトが拡大したのか、正確なサイト数を把握できていなかったのかは、不明ですが、１万サイト近くが改ざんされてしまったことに対する事の重大さを認識したのは、このころだと思います。 ここから、拡大防止のため 「CGIやPHPで旧来のフルパス指定を利用できないように変更」の対策を施します。つまり、Wordpressの脆弱性だけの問題でないことに気付いたのだと思います。
   
   
8. ロリポップ！から改ざんサイト拡大防止の対策が報告される
   

   8/30 ロリポップ！は、今回の一連のクラックがどのように行われたか把握できたのは、このあたり？じゃないかと思います。ホームページに 「当社サービス「ロリポップ！レンタルサーバー」ユーザーサイトへの第三者による大規模攻撃について」で以下のように拡大防止策を報告しています。
   
   
   

   ここで、クラックの侵入経路を確定できたのでしょう。 Wordpressの脆弱性だけの問題でなく、拡大させたのは、間違いなくロリポップ！のサーバーの設定で、許容しているOptionsに問題があったことを報告しています。
   
   最初にクラックされたのが、何なのかは不明ながら、１つのサイトを攻略できたら、一気に同じサーバーに同居している 複数サイトの改ざんができてしまうことに気づかれたんでしょうね。 しかも、それは、サーバーの設定による脆弱性であって、Wordpressの脆弱性でなくユーザのセキュリティの甘さに関係なく改ざんされてしまうことに気づかれたんでしょうね。
   
   ようやく、ここで本当の対処が始まります。現在(9/2)でも収束までしていないですが、その方向には向かっているようです。
   
   

関連記事