openSUSEでユーザー情報流出、フォーラムソフトの脆弱性悪用

vBulletinを使っているフォーラムが2013年以降、相次いで被害に遭っている。

[鈴木聖子，ITmedia]

　LinuxディストリビューションのopenSUSEは1月7日、openSUSEのパブリックフォーラムが不正アクセスの被害に遭い、ユーザーのメールアドレスが流出したと発表した。

　openSUSEのサイトに掲載された告知によると、何者かがフォーラムソフトウェアの脆弱性を突いてフォーラムのデータベースに不正アクセスし、ファイルをアップロードしてユーザーの電子メールアドレスを流出させたという。

　同サイトが使っていたとみられるフォーラムソフトウェア「vBulletin」の問題は、2013年7月に発覚したUbuntu Forumsに対する不正アクセスにも使われたことが分かっている。その後もvBulletinを使っている大手サイトのフォーラムが相次いで被害に遭っていた。

　openSUSEでは全サービスにシングルサインオンシステムを使っていて、ユーザーのログイン情報はアプリケーションデータベースには保存していなかったという。同システムは完全に切り離されているため、今回の攻撃による不正アクセスは受けていないと強調した。ただ、フォーラムの場合はローカルのデータベースにユーザーのメールアドレスが保存してあったため被害に遭ったという。

　フォーラムソフトウェアの脆弱性は現時点で修正プログラムも回避策も存在しないとして、openSUSEは解決策が見つかるまでフォーラムを閉鎖すると表明した。