技術評論社のWebサイトが改ざん被害に、原因はフィッシングメール

技術評論社は8日、同社公式サイト「gihyo.jp」が、第三者からの不正アクセスにより改ざんされていたことを公表した。期間は2014年12月6日11時～14時の間。現在は被害の遭ったサーバを復旧しており、利用者の個人情報流出などは確認されていないとする。

同社は、改ざん期間中に上記サイトにアクセスしたユーザーに対し、セキュリティソフトウェアを最新の状態にし、不正プログラムの感染確認と駆除をするよう呼びかけている。

不正アクセスの概要としては、同社が利用している、さくらインターネット提供サーバのコントロールパネルのアカウントを乗っ取られ、複数台あるサーバうち1台のOSを入れ替えられたという。該当サーバでは、gihyo.jpへのアクセスが第三者のWebサイトへリダイレクトするよう設定されていた。

原因は、sakura.ne.jpドメイン上にホストされたフィッシングサイトのURLが記載された、フィッシングメールにアクセスしたため。攻撃者がコントロールパネルを操作している際、偶然、同社担当がサーバに貼りついており、異変にいち早く気づくことができたという。コントロールパネルの仕様で、セッションが有効な間はパスワードを変更されてもログインできたため、攻撃者と担当者によるサーバの取り合いも行われた。

しかし、「さくらのVPS」のコントロールパネルには、アカウントによるログインのほか、サーバのIPアドレスをIDとしたログイン方法があり、後者のパスワード変更ができなかったため再侵入が行われ、6日のサイト改ざんにつながった。なお、パスワード変更ができなかった理由は、コントロールパネル側の問題ではなく、同社が変更を試みた際パスワードに使用できない文字列を指定しようとしていたためであることが調査で判明したという。

今回、攻撃者はサーバへのログインに失敗し、コンソール操作も同社担当が把握しているため、情報の漏洩はないとしている。

さくらインターネットによると、会員情報の確認などと称し、偽のログインフォーム(なりすましサイト)に会員情報を入力させることで、パスワードなどの個人情報を不正に取得する手口が確認されているという。

さくらインターネットでは「会員情報の確認」のために会員メニューへのログインを促す案内は5日時点で行っておらず、心当たりのない差し出し人からログインを促すメールが届いた場合はリンク先へのアクセスやログインを行わず、削除するよう呼びかけている。