JUGEMのオリジナルコンテンツ（スクリプト）は一旦CDNetworksのサーバーに蓄積された後、エッジサーバーに伝達され、そこからエンドユーザーに向けて配信されていたと思うのですが、不正アクセスがどこで行われたかというと、その一旦蓄積している（ゲートウエー）サーバーだったんじゃないかな。

何ヶ月か前のことです。
CDNetworksがドメイン所有者になっているサーバーに、不正アクセスでない方法で接続したら、見えていいものではないものが色々と見えちゃったということがありました。まあ、セキュリティ的に設定が適切になされていなかったと。
そんな状態のサーバーは世界中によくあるのですが、CDNというネットワーク専門に扱う企業でこの有り様かと驚いたことが記憶に残っています。

5/31追記1
H.I.S.のサイトでJavascriptが改ざんされた件では、「外部サービス」はリクルートマーケティングパートナーズが提供していたとのこと。
こちらは以前に発生した、アドネットワークで不正なコードが広まった現象と同じではないかと推測される…と思ったけどそれならH.I.S.以外のサイトでも改ざんされたJavascriptが配信されてそうなものなので、違うみたい。

5/31追記2
これだけ外堀を埋められていて１枚のプレスリリースも出せないCDNetworksは自社のセキュリティ保持能力に欠けていると評価せざるを得ません。
こんなところはセキュリティ商品を扱わないほうがいい。
プレスリリースを探すために訪れたトップページが画像だらけで、文字情報がほとんど無かったことも悪印象。
そのため日記タイトルを「さらに適当な事を言ってみる」から「自社のセキュリティ保持能力に欠けているCDNetworksはセキュリティ商品を扱う資格なし」に変更。
ちなみに本文の「見えていいものではないもの」を例示するとpasswdとshadowファイルです。