インフォメーション

弊社ホームページ改ざんに関するお詫びとご報告

この記事を読むのに必要な時間:およそ 1.5 分

発生した状況について

弊社が利用している,さくらのVPSのコントロールパネルのアカウントを乗っ取られ,複数台あるうちの一台のサーバのOSを入れ替えられました。入れ替えられた後のサーバでは,第三者サイトへリダイレクトするように設定されていました。

原因

12月5日にsakura.ne.jpドメイン上にホストされたフィッシングサイトのURLが記載されたメールがさくらのVPSの弊社アカウントに登録されたメールアドレス宛に送られ,httpsなsakuraドメインであること,ほかのサービスではあまり使用していないメールアドレス宛であること(さくらのVPSより漏洩したということではありません)から,迂闊にもヘッダの確認をせずにアクセスしてしまいました。

何が起きたのか

攻撃者は最初,サーバの乗っ取りを画策しましたが,さくらのVPSではコントロールパネルからサーバのrootパスワードを設定できないことなどからサーバの乗っ取りが出来ず,その代わりにOSを入れ替えることを画策しました。

なぜそれがわかるのか?

偶然,弊社担当が新サービスのリリース前でサーバに貼りついており,異変にいち早く気がつき,コントロールパネル経由でコンソールの状態を確認できる環境にあったため,攻撃者の操作を目撃することができました。 コントロールパネルの仕様で,セッションが有効な間はパスワードを変更されていてもログインできたため,一時攻撃者とサーバの取り合いを演じていました(5日のサービス中断障害)。

なぜ6日の乗っ取りを防げなかったのか?

さくらのVPSのコントロールパネルにはアカウントのログインのほかにサーバのIPアドレスをIDとしたログイン方法があり,こちらのパスワード変更が完了できていなかったために攻撃者の再侵入を許す結果となりました。

このルートには初日より気がついており,複数回パスワード変更をトライしましたがエラーメッセージが表示される状態であったため,さくらインターネットの担当者に対応を依頼しましたが,結果的に混乱した状況で双方の認識に相違が生じ,処置されないままになっていました※1)。

攻撃者は再侵入後すぐにOSを入れ替えており,サービスが中断されたため弊社も把握するところとなりました。

※1
その後の調査で,コントロールパネルのシステムの問題でなく,パスワードとして使用できない文字列を指定しようとしていたためであるとの報告を受けました。

なぜ復帰に時間がかかったのか(特にサーバを止めるまで)

実際には1台のサーバのみが乗っ取られていたのですが、当時、弊社が契約中のほかのサーバも攻撃可能な状態であると認識しており,迂闊に攻撃者を刺激しないような判断を行いました。

12時頃から,不審なサイトへリダイレクトされるようになり,DNSをほかのサーバへ向けることで対処しようとしましたが,TTLの関係であまり効果がありませんでした。

情報漏洩の危険性は?

さくらのVPSでは,サーバイメージのダウンロード等はありません。

今回,攻撃者はサーバへのログインには失敗しており,コンソール操作も担当により把握されていることから,漏洩はないと思われます。

コメント

コメントの記入