何者かが未解決の脆弱性情報をBugzillaから盗み出し、その情報をFirefoxユーザーに対する攻撃に利用したとみられることが分かった。
米Mozillaは9月4日、Firefox開発者の間でバグ情報などの共有に使われているツール「Bugzilla」が不正アクセスされ、流出した情報がFirefoxに対する攻撃に利用されていたことが分かったと発表した。
Mozillaによると、Bugzillaではオープンの理念に基づき、ほとんどのバグ情報を公開しているものの、取り扱いに注意を要するセキュリティ情報についてはアクセスを制限しており、一部の特権ユーザーにしかアクセスできない仕組みになっている。
ところが、何者かが要注意扱いのセキュリティ情報をBugzillaから盗み出し、その情報をFirefoxユーザーに対する攻撃に利用したと見られることが分かった。Mozillaは8月上旬、Firefoxの未解決の脆弱性を突く攻撃が発生したとして同月6日にFirefoxの更新版(Firefox 39.0.3)を公開しているが、この攻撃に使われた情報がBugzillaから盗まれたものだったという。
この攻撃者が入手した他の情報は、Firefoxに対する攻撃に使われた痕跡はないとMozillaは説明。8月27日に公開したFirefoxの更新版(Firefox 40.0.3)で、攻撃者が入手してFirefoxユーザーに対する攻撃に利用する可能性のあった脆弱性は全て修正したとしている。
不正侵入されたBugzillaのアカウントは、不正が発覚した後、ただちに閉鎖された。こうした事態の再発を防ぐためBugzillaのセキュリティ対策についても改善を進めているといい、その第一歩として、取り扱いに注意を要するセキュリティ情報へのアクセス権限を持った全ユーザーに対してパスワードの変更と2要素認証の利用を義務付けたほか、特権ユーザーの数を減らすなどの措置を講じているという。
捜査当局にも通報して、今後の調査の結果に応じて追加的な措置を講じると表明した。
Copyright © ITmedia, Inc. All Rights Reserved.