多くのWebサイトが共同で利用している共有サーバーが不正アクセスを受け、サーバー上に開設されたユーザーサイトが次々に改ざんされるという事例が相次いでいる。正月早々にはカゴヤ・ジャパンのサーバー3台が、25日にはデジロックが運営するXREAサーバー1台が攻撃を受け、数百にのぼるサイトが次々と改ざんされた。
Webサイトの構築には、複数の物理的なサーバーを連動させる大規模なものから、1台のサーバーを複数のユーザーで共有するものまでさまざまなタイプがある。中でも1台のサーバーを複数のユーザーで共有する共有サーバーは、リーズナブルで自由度も高いことから、多くのユーザーに利用されている。
共有といってもユーザーエリアは個々に独立しているので、個々のユーザーのアカウントが盗まれたとしても、被害を受けるのはそのユーザーのサイトだけにとどまる。ところが、サーバーの管理者アカウントが盗まれたり、サーバーに脆弱性があったりすると事情が変わってくる。サーバーの管理者アカウントから侵入されれば、サーバー全体を乗っ取ったも同じ。サーバーの脆弱性は、全てのユーザーサイトに同じ手口で侵入できたり、場合によっては管理者としてサーバーそのものに侵入されてしまうこともある。
今回被害にあった2社のレンタルサーバーの場合は、いずれもサーバーで利用していたアプリケーションの脆弱性が悪用され、ユーザーサイトのインデックスページ(トップページ)が次々と書き換えられてしまった。
カゴヤ・ジャパンは、2日の午前7時頃から2台のサーバーが、3日午後9時頃から1台のサーバーが不正アクセスを受けた。編集部で確認できただけでも約150サイトのトップページが書き換えられており、「RooTBoY&Real_Karizma」と名乗るメッセージと髭面の男の画像に変わっていた。XREAサーバーは、25日午前8時頃から不正アクセスが始まり、各サイトのトップページが「by Thehacker 0wn3d」というメッセージに書き換えられていった。トップページが書き換えられたサイトは、編集部で確できたものだけでも約400サイトに上る。
今回の2社の不正アクセスは、いずれもハッカー(クラッカー)が目立つメッセージを残して行ったので、比較的短時間のうちにシステム側でも対処できたが、脆弱性が密かに悪用されたり長時間放置されていたら、大きな被害を招いたかもしれない。
(2010/01/27 ネットセキュリティニュース)
■障害情報:サーバアクセス障害(XREA)
http://mainte.xrea.com/eventview.cgi?host=www.s294.xrea.com
■カゴヤ・ジャパンのリリース
・お客様サーバー(www19v)不正アクセスにつきまして(復旧のお知らせ)
http://www.kagoya.jp/maintenance/00067.html
・お客様サーバー(www0v)不正アクセスにつきまして(復旧のお知らせ)
http://www.kagoya.jp/maintenance/00068.html
・お客様サーバー(www3v)不正アクセスにつきまして(復旧のお知らせ)
http://www.kagoya.jp/maintenance/00070.html
・FIG(Flash Image Gallery)セキュリティ対策に関するお願い
http://www.kagoya.jp/new/00312.html