サーバ攻撃のご報告と、パスワード変更のおねがい
本Webサイトでは、コンテンツコンテンツ管理ソフトウエア(CMS)のDrupalを使用しています。
10月15日に発表されましたDrupalにおける極めて高い脆弱性の情報および修正情報(*)につきまして、即日対応できず、対応が遅れました。
その結果、本サイトに対する攻撃を許し、Webサイトのコンテンツ・ユーザ管理権限を奪取されるに至りました。
10月25日より、本サイトを停止し、新規Webサイトを再構築し、提供することを決定、本日再開いたします。
本サイトでは、ユーザのパスワードは、コンテンツ・ユーザ管理者といえど、閲覧できない暗号化された形で保管されています。(正確には、一方向の暗号化技術であるハッシュ値として格納されます)。残念ながら、攻撃により、登録されたユーザの「ユーザ名」「メールアドレス」、「パスワードハッシュ値」が流出したものと考えられます。
今後、利用者、登録者に対するスパムメール等の送信などの、影響が有る可能性がございます。ボランタリースタッフによる運営とはいえ、攻撃を防御するに至らず、ご迷惑おかけしますこと、サイト利用者の皆様に、心よりお詫びいたします。
考えられる影響は次の通りです。
- メールアドレスが流出し、スパム業者等によるメール送信先に登録される
- 本サイトに登録したパスワードが、世の中に存在する英単語と数字等の組み合わせなど、強度の弱いパスワードだった場合、攻撃者により、単語辞書を用いた総当り法によって、パスワードを特定される
以上のことから、本サイトでの全ユーザのパスワードについて、強制リセットを行うこととしました。
利用者の皆様については、次回ログイン時に、強制的にパスワードの変更を求められますので、ご了承をおねがいます。
