Ubuntu Forumsの不正アクセス、原因はアカウント乗っ取りとForumsソフトの設定問題

Canonicalによると、攻撃の発端となったのはモデレーターアカウントの乗っ取りと、Forumsアプリケーションソフト「vBulletin」の初期設定の問題だったという。

[鈴木聖子，ITmedia]

　Ubuntu ForumsのWebサイトが不正アクセスを受けてユーザー情報が流出した問題で、Ubuntu開発元のCanonicalが7月30日のブログで攻撃を受けた経緯や原因について説明している。Ubuntu Forumsはセキュリティ対策を強化したうえで、同日までに復旧した。

　Canonicalによると、攻撃の発端となったのは個人のアカウント乗っ取りと、Forumsアプリケーションソフト「vBulletin」の設定問題だったという。

　最初に乗っ取られたのはUbuntu Communityのモデレーターのアカウントで、7月14日に何者かがこのアカウントから不正ログインした。同アカウントはForumsに発表を投稿する権限を持っていたが、vBulletinではデフォルトで、フィルタを通過していないHTMLを投稿に含めることができる設定になっていたとみられる。

　攻撃者は発表を投稿した後、フォーラム管理者3人にメッセージを送り、「発表ページにサーバエラーが発生した」と称してチェックするよう促した。管理者の1人がこのページを閲覧すると、直後に攻撃者が、その管理者のアカウントでForumsにログオンしたという。

　攻撃者が閲覧を促した発表ページへの投稿にはクロスサイトスクリプティング（XSS）攻撃のコードが仕込まれており、これを見たユーザーのcookieが攻撃者に送られる仕組みになっていたとみられる。

　管理者権限を取得した攻撃者はデータベースにアクセスし、PHPコードを使ってユーザー182万人のユーザー名やメールアドレス、暗号化されたパスワードなどの情報を引き出した。

　なお、Ubuntu自体のコードレポジトリや、CanonicalやUbuntuの他のサービスは不正アクセスを受けていないとCanonicalは強調している。攻撃者がどのような手段でモデレーターのアカウントを乗っ取ったのかは分かっていない。

　Webサイトの復旧に当たっては、ユーザーにパスワードの変更を呼び掛け、管理者以外はHTMLを投稿できないようにするなどの対策を講じた。vBulletinのデフォルトの設定問題については、vBulletinと協力して改善に取り組んでいるという。