取り上げるのが少し遅くなってしまいましたが、「第三者によるユーザーサイトの改ざん被害に関するご報告」という、公式の報告が9月9日付けで掲載されました。

これによると、

■原因
・改ざんの原因
簡単インストールを利用して設置された WordPress においてインストールが完了していない WordPress が狙われ、WordPress の管理者権限を第三者に取得されたことで、サーバー上にサーバー構成上の不備を悪用するスクリプトが設置されました。また、wp-config.php のパーミッションが 644 だったことを利用して、設置されたスクリプトによりデータベースの接続情報の取得がおこなわれ、データベース上のデータの書き換えが可能な状態となっておりました。

・改ざんが拡大した原因
サーバー側のディレクトリパーミッションが不適切だったことと、FollowSymLinks の設定を有効にできる状態であったため、同一サーバー上のユーザー領域を辿り、他のユーザー様の wp-config.php の内容を参照し、データベースの更新を実行することで改ざんの被害が拡大しました。

ということで、この発表が行われるまでに「これが原因ではないか」と推測されていた内容ほぼそのままということになります。「簡単インストールを利用して設置された WordPress においてインストールが完了していない WordPress が狙われ、WordPress の管理者権限を第三者に取得された」という部分は新しい情報です。最初の入り口になってしまった部分はどうなっているのか、というのが明らかになっていなかったので、これで全体像がはっきりした感じです。

改ざんされてしまったユーザーの中には、いまだにうまく元に戻せていない人もいるはずで、その意味でまだまだ完全解決までには時間が必要となりそうです。

関連記事

• 続・「ロリポップ！レンタルサーバー」で起きたこと(2013/09/02)
• 「ロリポップ！レンタルサーバー」で起きたこと (2013/09/02)
• 続報・「ロリポップ！レンタルサーバー」への大規模攻撃(2013/08/31)
• 「ロリポップ！レンタルサーバー」への大規模攻撃 (2013/08/30)