ロサンゼルスを拠点とするウェブホスティング会社 DreamHost は、自社のデータベースの 1 つで不正なアクティビティを検出した後、金曜日に全顧客の FTP およびシェル アクセス パスワードをリセットした。
「ドリームホストのデータベースサーバーの1つが、これまで知られていなかった、あるいは当社が導入している多層セキュリティシステムでは防げなかった脆弱性を利用して不正にアクセスされた」とドリームホストのCEO、サイモン・アンダーソン氏は土曜日のブログ投稿で述べた。
ブロックはできなかったものの、不正アクセスは同社の侵入検知システム(IDS)の1つによって検出されたため、セキュリティチームは迅速に対応し、必要な軽減措置を講じることができました。
DreamHostは顧客にメールでセキュリティ侵害について通知し、FTPとシェルアクセスに使用されていたパスワードのみが侵害の影響を受けていないことを伝えた。請求情報や個人情報は漏洩していないとDreamHostは述べている。
DreamHostの顧客は、Web管理パネル、メール、FTP/シェルアカウントへのアクセスにそれぞれ異なるパスワードを使用しています。メールのパスワード変更も予防措置として推奨されていましたが、強制されていませんでした。
DreamHost のスタッフは、共有ホスティング アカウントのすべての FTP パスワードをリセットするために金曜日中作業したため、顧客が事件を聞いた後に自分でパスワードを変更したにもかかわらず、その日のうちに同社によってパスワードがリセットされるという状況がいくつか発生した。
多数のユーザーがパスワードの変更を試みているため、Web 管理パネルが一定期間応答しなくなりました。
パスワードリセット作業は、共有ホスティング顧客の場合は金曜日の夕方、VPS(仮想プライベートサーバー)顧客の場合は土曜日に完了しました。DreamHostは世界中に30万人以上の顧客がいると主張しています。
DreamHostは日曜日のステータスページで、「パスワードリセットのための迅速な対応により、お客様のアカウントにおいて異常な悪意のある活動は確認されていません。当社のセキュリティソフトウェアとシステムは正常に機能しています」と述べました。
同社は、今回のインシデントに起因する可能性のある、異常な、あるいは悪意のある可能性のあるアクティビティがないか、引き続き顧客アカウントとウェブプロパティを監視していく。「パスワードリセット以外のお客様への影響を最小限に抑えるため、今後数日間、全力で取り組んでまいります」とアンダーソン氏は述べた。
DreamHostの一部顧客は、同社の発表に対し、ウェブサイトが最近マルウェアに感染したと苦情を申し立てた。しかし、ウェブサイト整合性監視会社Sucuri Securityは、これらの感染は今回の事件とは無関係であるようだと述べている。
「これらのウェブサイトの多くをクリーンアップしましたが、そのほとんどはお客様がインストールした古いソフトウェアによって感染していました」と、Sucuriの共同創設者であるアンドレス・アルメダ氏はブログ投稿で述べています。「ここで重要なのは、サイトを常に最新の状態に保つことが非常に重要だということです。」
DreamHost の顧客は、パスワードを使用している可能性のある他の Web サイトでもパスワードを変更する必要があり、ハッカーが同社の名前で送信するフィッシング詐欺メールの可能性にも注意する必要があります。
