2013年8月28日の夕方、 終業時間が近づいたpaperboy&co.(以下、ペパボ)福岡支社の社内がにわかにざわつき始めた。
SNSサイトのTwitterやブログ管理ソフトのユーザーフォーラムなどで、同社が提供するレンタルサーバー「ロリポップ!」に開設したWebサイトが改ざんされている、という報告がみるみるうちに増えてきたのだ。
ホスティング事業部ロリポップグループ マネージャーの川口 武将さんは、その情報を聞くと、ロリポップのユーザーに向けた警告メッセージをWebサイトに掲載するよう、指示を出した。ユーザーのWebサイトが改ざんされてしまう被害がこれまでもあった。海外からの攻撃者が、多数のIDとパスワードを使って不正ログインを試みる、いわゆる「総当たり攻撃」(ブルートフォース攻撃)を経験していた。そこで、今回もブルートフォース攻撃の可能性が高いと判断。まず、管理画面のパスワードをより複雑な文字列に変更して、管理画面にアクセスできるアクセス元をIPアドレスで制限するよう、ユーザーに呼びかけた。
ところが、原因の調査を始めると、今回の攻撃が、今までとは異質だとわかってきた。攻撃者は多数のIDとパスワードを試さず、あらかじめログインできるIDとパスワードを知って、不正アクセスしていたからだ。
2013年8月下旬に発生したロリポップのWebサイト大量改ざん被害はこうして始まった(図1-1)。
川口さんら担当者はこの後、約2週間にわたり、不眠不休で対応に追われた。その際に同社が最も気を使ったのは、ユーザーの混乱をどうやったら抑えられるか、被害をいかに小さく食い止めるか、の2点に注力することだった。この後の様子を詳しく見てみよう。