Bugzillaに不正アクセス、盗んだ情報をFirefox攻撃に利用
何者かが未解決の脆弱性情報をBugzillaから盗み出し、その情報をFirefoxユーザーに対する攻撃に利用したとみられることが分かった。
米Mozillaは9月4日、Firefox開発者の間でバグ情報などの共有に使われているツール「Bugzilla」が不正アクセスされ、流出した情報がFirefoxに対する攻撃に利用されていたことが分かったと発表した。
Mozillaによると、Bugzillaではオープンの理念に基づき、ほとんどのバグ情報を公開しているものの、取り扱いに注意を要するセキュリティ情報についてはアクセスを制限しており、一部の特権ユーザーにしかアクセスできない仕組みになっている。
ところが、何者かが要注意扱いのセキュリティ情報をBugzillaから盗み出し、その情報をFirefoxユーザーに対する攻撃に利用したと見られることが分かった。Mozillaは8月上旬、Firefoxの未解決の脆弱性を突く攻撃が発生したとして同月6日にFirefoxの更新版(Firefox 39.0.3)を公開しているが、この攻撃に使われた情報がBugzillaから盗まれたものだったという。
この攻撃者が入手した他の情報は、Firefoxに対する攻撃に使われた痕跡はないとMozillaは説明。8月27日に公開したFirefoxの更新版(Firefox 40.0.3)で、攻撃者が入手してFirefoxユーザーに対する攻撃に利用する可能性のあった脆弱性は全て修正したとしている。
不正侵入されたBugzillaのアカウントは、不正が発覚した後、ただちに閉鎖された。こうした事態の再発を防ぐためBugzillaのセキュリティ対策についても改善を進めているといい、その第一歩として、取り扱いに注意を要するセキュリティ情報へのアクセス権限を持った全ユーザーに対してパスワードの変更と2要素認証の利用を義務付けたほか、特権ユーザーの数を減らすなどの措置を講じているという。
捜査当局にも通報して、今後の調査の結果に応じて追加的な措置を講じると表明した。
関連記事
- Firefoxの未解決の脆弱性を突く攻撃発生、更新版で対処
ロシアのニュースサイトの広告に不正なコードが仕込まれているのが見つかり、Mozillaは8月6日にリリースしたFirefox更新版で脆弱性を修正した。 - 「Firefox 40.0.3」公開、深刻な脆弱性に対処
最新版の「Firefox 40.0.3」では2件の脆弱性に対処したほか、日本語フォント使用に関する不具合などが修正された。 - Mozilla、FirefoxでFlash Playerを(一時的に)ブロック
Mozillaが、Adobe Flash Playerの一連の脆弱性が修正されるまで、Firefoxで一時的にFlash Playerをブロックすると発表した。
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.