この文書はサークルサーバ運営委員会によって作成されました. 質問等はこちら webmaster@circle.iic.hokudai.ac.jp まで. 2007/6/19.
本日サークルサーバは復旧致しました.今回の復旧に伴い,CGI,PHPなどのアプリケーションの利用は禁止となりました.それに伴い,サークルサーバ内に閲覧できないページがいくつかございますが,ご了承願います.
今回の不具合を受けてサーバ内を調査したところ,多くのサークルで設置後のアップデートが適切に行われていない状況が見られ,重大なセキュリティホールが放置されている可能性があることが発覚しました.
これはサークルが運営するサイトであるために,ほとんどのサークルで毎年管理者が交代するというサークルサーバ固有の問題によって,必ずしも技術的な知識を持った人間が管理者になっているわけではないということが大きいのではないかと考えています.
また,掲示板やWiki等の不特定多数のユーザが書き込み可能なアプリケーションにおいては,業者による販売広告や危険なサイトへのリンクなどの不適切な書き込みが放置されていることも多く,hokudai.ac.jpというドメインの元で運営されているサイトとしては,このようなアプリケーションを野放図に許す事ができない状況です.
以上の事から,サークルサーバとしては,CGI,PHPなどのアプリケーションの利用は禁止するという方針に致しました.
なお,サークルサーバ運営委員会としては,今後何らかの代替手段を用意する形でCGI,PHPなどのアプリケーションの利用が出来るようにしたいと考えております.このことについてご意見やご要望がありましたら,運営委員会へご連絡ください.
2008/7/30 にサークルサーバに不具合が発生し,サーバを停止せざるを得ない状況になりました. 現在復旧作業を行っておりますが,完全復旧の目処は未だたっておりません. 閲覧者,及びユーザの皆様には大変ご迷惑をおかけしておりますが,復旧まで今しばらくお待ちいただけますよう宜しくお願い致します.
なおサークルサーバのアカウントを保持しているサークルにつきましては,管理者様に対して,この度の障害に関する詳しい情報を本日(8月5日)中にメールにてお知らせ致します.
情報基盤センターの空調工事に伴い、6/26 () の 9:00 〜 20:00 頃の間で、サークルサーバが設置されております先端ネットワーク研究室が短時間停電致します。停電の間、サークルサーバの全機能が停止致しますのでご了承下さい。
情報基盤センターの空調工事に伴い、6/22 (金) の 8:00 〜 10:00 頃の間で 30 分間ほど、サークルサーバが設置されております先端ネットワーク研究室が停電致します。停電の間、サークルサーバの全機能が停止致しますのでご了承下さい。
先日の障害に引き続いてのたびたびのサービス停止でご利用の皆様に不便をおかけ致します事をお詫び申し上げます。
2007/6/15 から 19 日までのほぼ 5 日間に渡りサークルサーバはサービスを停止しておりました。ユーザの皆様にはご不便を強いる形になってしまい大変申し訳ございません。障害内容とその対策について説明させて頂きます。
6/15 の午後一時半頃に HINES (北海道大学学術情報ネットワーク) のネットワーク係からサークルサーバのトップページが改竄されているとの情報が入りました。即座に確認したところ確かに改竄されていたため、即刻サークルサーバをネットワークから切り離させて頂きました。
調査の結果、トップページ改竄の原因は大きく分けて二つある事が分かりました。一つはとあるサークルが利用していた PHP アプリケーションの脆弱性を突かれてサークルサーバに侵入された事にあります。その PHP アプリケーションは、最新版では既知の脆弱性が全て対処済みでしたが、そのサークルで利用されていた PHP アプリケーションは脆弱性に対処される以前のバージョンのまま利用されておりました。原因の二つ目はサークルサーバ運営委員が設定した権限設定が不適切だった事によります。これにより、PHP アプリケーションのの脆弱性を突いて侵入したクラッカーがトップページを容易に改竄出来るような状況となっておりました。その他細かい原因についてはサークルサーバ運営側が十分な侵入・改竄対策を行って来なかった事や、セキュリティ情報の周知徹底を図らなかった事などが挙げられます。
サークルサーバではユーザの皆様が多種多様な Web アプリケーションを利用出来る場を提供する事を重視し、インストールする Web アプリケーションに制限などを設けてはおりませんでしたが、インストールされた後の監視を怠った事が今回の件の直接的な原因となりました。今後サークルサーバ運営委員会では再発防止に努め、ユーザの利便性を可能な限り損なわずにセキュリティ品質を向上させるため以下のような対処を施して行く予定です。
またユーザの皆様には、ご利用の Web アプリケーション (XOOPS, PukiWiki, MovableType, 各種掲示板など) が最新のバージョンであるかどうか確認していただければ幸いです。サークルサーバでも実態把握に努めておりますが、現在百数十のサークルの皆様が利用する全てのアプリケーションの実態を完全に把握し続ける事が困難という事もあり、皆様のご協力をお願いする次第です。また詳しい対処方法につきましては個別にメールを差し上げておりますので、そちらを参照して頂ければ幸いです。
5 日間に渡るサービス停止というのはサークルサーバの運用開始以来初めての事であり、サーバへの侵入を許した事も含めて今回の障害は慚愧の念に堪えない事件でありました。今回の件を教訓として、今後より一層のサービス品質向上を目指してサークルサーバを運営していく所存です。今後とも皆様の活発なご利用を期待しております。ご意見、ご質問、苦情などは webmaster@circle.iic.hokudai.ac.jpまでお寄せ下さい。このたびは各サークル関係者の皆様ならびにサークルサーバをご利用頂いております皆様に多大な迷惑をおかけ致しました事を重ねてお詫び申し上げます。