掲示板サイトから相次ぐ情報流出、パッチ管理の不手際に専門家が警鐘

パスワードなどの情報が流出する事件が起きた掲示板サイトは、ほとんどがフォーラムソフトウェアのパッチを適用せずに脆弱性を放置した状態だったという。

[鈴木聖子，ITmedia]

　フォーラムソフトウェア「vBulletin」の脆弱性が悪用され、ユーザー情報が流出する事件が後を絶たない。いずれも管理者がパッチを適用せずに脆弱性を放置していたことが原因だとセキュリティ研究者は指摘し、vBulletinに限らず、こうしたソフトウェアは確実にパッチを適用して最新の状態を保つ必要があると促している。

　セキュリティ専門家トロイ・ハント氏の8月24日のブログによると、新たに人気ゲーム「Grand Theft Auto」ファン向けの掲示板サイト「GTAGaming」がハッキングされ、ユーザーの電子メールアドレスやハッシュ化されたパスワードなどの情報が流出する事件が発生した。

トロイ・ハント氏のブログ

　同氏はユーザーが自分の情報の流出の有無を確認できるWebサイト「Have I Been Pwned」（HIBP）を運営しており、GTAGamingからの流出情報を同サイトに追加したという。

　また、大規模流出に関する別の情報提供サイト「LeakedSource」も、8月に入ってロシアのWebサイトなどから大量のパスワードなどが流出したと伝えた。こちらは2700万を超すアカウントの情報が被害に遭ったと報じられている。

ユーザーが使いやすい、安易なパスワードのランキング（LeakedSourceブログより）

　最近では米ゲーム開発企業のEpic GamesやDisney、Ubuntuのフォーラムでも相次いで情報流出が発覚していた。

　ハント氏によれば、いずれも攻撃に使われたのはvBulletinの脆弱性だった。GTAGamingの掲示板がハッキングされた時点で使っていたvBulletinのバージョンは、現行世代よりもメジャーリリース2回分古く、パッチは4年半遅れの状態だったという。

　「vBulletinのサイトがハッキングされた事件をさかのぼって調べると、ゼロデイの脆弱性が使われたケースはほとんどない」とハント氏は述べ、こうした問題はvBulletinに限らないと指摘する。

　ユーザーは安易なパスワードを複数のWebサイトで使い回す傾向があり、掲示板サイトからパスワードなどが流出すれば、ユーザーのGoogleやFacebookなどのアカウントも危険にさらしかねないと同氏は強調。「ソフトウェア製品の管理は子供を育てるようなもの。継続的に面倒を見る必要があり、もしそれを怠れば悪いことが起きる」と警告している。