ニュース
» 2016年07月19日 06時45分 UPDATE

Ubuntuフォーラムから200万人の情報流出、放置の脆弱性が悪用される

攻撃者は、パッチが当てられていなかったvBulletinのプラグイン「Forumrunner」のSQLインジェクションの脆弱性を悪用していた。

[鈴木聖子,ITmedia]
Ubuntuフォーラム

 Canonical傘下のUbuntuは7月15日、フォーラムサイトで既知の脆弱性が悪用され、ユーザー200万人の情報が流出したと発表した。

 発表によると、協定世界時の14日、同フォーラムのデータベースのコピーを入手したと主張している人物がいるとCanonicalに連絡があり、調査したところ、情報が流出していたことが判明。慎重を期すためにフォーラムを一時閉鎖して詳しく調べた結果、フォーラム用のモバイル最適化プラグイン「Forumrunner」に既知のSQLインジェクションの脆弱性があり、パッチが当てられていなかったことが分かった。

 攻撃者がフォーラムのデータベースにフォーマットされたSQLを挿入すれば、どのテーブルでも読めてしまう状態だったという。今回の攻撃ではこの脆弱性を突いて、ユーザー200万人のユーザー名やメールアドレス、IPアドレスが記録された「ユーザー」テーブルにアクセスされ、一部がダウンロードされていた。

 このテーブルに保存されていたパスワードはランダムな文字列だったとUbuntuは説明。ハッシュとソルトがかけられたこの文字列が攻撃者にダウンロードされたものの、有効なパスワードにはアクセスされなかった強調している。

不正アクセスの原因は脆弱性対応の不備だった説明した

 対策として、フォーラムソフトウェア「vBulletin」は最新のパッチを適用し、全システムとデータベースのパスワードをリセットする措置を取った。再発を防ぐため、Webアプリケーションファイアウォール「ModSecurity」をインストールするとともに、セキュリティパッチを確実に適用するよう、vBulletinのモニタを強化したという。

Copyright© 2017 ITmedia, Inc. All Rights Reserved.

ピックアップコンテンツ

- PR -

あなたにオススメの記事

- PR -

新品より高品質な“中古機器”「第三者保守」のメリットと品質とは?

苦労した点は?実際に導入に携わった情シスに「リアル」な話を聞いてみた

現場の情シスはどう思うか? 生産性を高めるためのデバイス導入のポイント

注目のテーマ

マーケット解説

- PR -