ひろしプロジェクトは3月1日、不正アクセスによるブログサイト改ざんと個人情報漏えいについて発表した。文字のコピーができない状態で公開している。
これは同プロジェクトが運営する夜行バス・高速バス・鉄道乗車記サイト「ひろしプロジェクトWEB」のウェブサイトのサーバに外部から不正アクセスがあり、契約しているレンタルサーバ内のフォルダにマルウェアが仕込まれ、ブログサイトのトップページが書き換えられるとともに、Googleの検索結果に不正なページを勝手に登録されてしまう(サイトマップインジェクション)事象が発覚、独自メールマガジン「Norifan」登録者の一部の個人情報流出が判明したというもの。
流出したのは、2013年から2025年2月22日に独自メールマガジン「Norifan」トップページから登録した顧客 約260名分の氏名、性別、年齢、メールアドレス、住所を含む個人情報。
同プロジェクトによると、2月25日午前1時頃に、X(旧Twitter)のフォロワーから「ウェブサイトが第三者に乗っ取られたのか、私宛に個人情報流出を知らせるメールが届いた」というXの書き込みを確認し、発覚した。
同プロジェクトのメールアドレスを利用し、悪意ある第三者が個人情報流出を知らせるメールを大量送信しようとしていた形跡を確認したが、レンタルサーバ会社のメールサーバで送信を阻止していたと推測され、殆どが送信失敗していたという。
同プロジェクトでは原因について、悪意ある第三者がFTPサーバに侵入し、独自メールマガジン「Norifan」を管理していたサーバ設置型メーラー「acmailer」のフォルダにマルウェアを設置し、個人情報を抜き取ると同時に、ブログサイトのフォルダ名に悪意のあるphpファイルの設置と改ざんを行っていたとしている。
同プロジェクトでは「acmailer」について、以前から脆弱性が指摘されていたためアップデートを行っており、FTPサーバについてもログインパスワードを複雑なものにする等の対策を行っていた。
同プロジェクトでは2月27日午前2時頃に、「ひろしプロジェクトWEB」を復旧している。
また同プロジェクトでは、「acmailer」については脆弱性が指摘されていることや運用回数が減っていること等から、独自メールマガジン「Norifan」の運用を終了するとし、該当する全ての個人情報をサーバから削除している。
ブログサイトについても、WordPressの管理者ログインURLとログインパスワード、データベースのパスワード、FTPパスワードを変更し、管理者ログインに2段階認証を導入、新たなWordPress用セキュリティプラグインの導入など、セキュリティ面を強化している。
同プロジェクトでは今後、プラグインの見直しを実施するとともに、テーマの変更・サイトのリニューアルを検討するとのこと。
