FreeBSDで不正侵入、サードパーティーパッケージに影響も

2012年9月19日から11月11日の間にインストールされたサードパーティーパッケージについては完全性を保証できないとして、インストールをやり直すことを推奨している。

[鈴木聖子，ITmedia]

　FreeBSDプロジェクトは11月17日、FreeBSD.orgのクラスタを構成するマシンのうち2台が不正侵入を受けていたことが分かったと発表した。

　FreeBSDのWebサイトに掲載されたセキュリティ情報によると、レガシーサードパーティーパッケージ開発インフラに使われていた2台のマシンで、11月11日に不正侵入が発覚した。発生は9月19日以降だったとみられる。この2台は直ちにダウンさせ、念のためにほかのインフラマシンも大部分をダウンさせる措置を取ったという。

　原因は、問題のマシンに正規のアクセス権を持っていた開発者からSSH鍵が流出したことにあると思われ、FreeBSD内の脆弱性やコードの悪用に起因するものではないとしている。

　FreeBSDのOSは、コミュニティが管理している「ベース」部分と、プロジェクトで配布しているサードパーティーの「パッケージ」部分に大別される。今回不正侵入されたのはパッケージ部分であり、FreeBSDのベースシステムソフトウェアが改ざんされるような事態は発生していないという。

　一方、2012年9月19日から11月11日の間にインストールされたサードパーティーパッケージについては、完全性を保証できないとして、信頼できるソースを使って最初からインストールをやり直すことを推奨している。

FreeBSDプロジェクトの告知