掲示板サイトから相次ぐ情報流出、パッチ管理の不手際に専門家が警鐘
パスワードなどの情報が流出する事件が起きた掲示板サイトは、ほとんどがフォーラムソフトウェアのパッチを適用せずに脆弱性を放置した状態だったという。
フォーラムソフトウェア「vBulletin」の脆弱性が悪用され、ユーザー情報が流出する事件が後を絶たない。いずれも管理者がパッチを適用せずに脆弱性を放置していたことが原因だとセキュリティ研究者は指摘し、vBulletinに限らず、こうしたソフトウェアは確実にパッチを適用して最新の状態を保つ必要があると促している。
セキュリティ専門家トロイ・ハント氏の8月24日のブログによると、新たに人気ゲーム「Grand Theft Auto」ファン向けの掲示板サイト「GTAGaming」がハッキングされ、ユーザーの電子メールアドレスやハッシュ化されたパスワードなどの情報が流出する事件が発生した。
同氏はユーザーが自分の情報の流出の有無を確認できるWebサイト「Have I Been Pwned」(HIBP)を運営しており、GTAGamingからの流出情報を同サイトに追加したという。
また、大規模流出に関する別の情報提供サイト「LeakedSource」も、8月に入ってロシアのWebサイトなどから大量のパスワードなどが流出したと伝えた。こちらは2700万を超すアカウントの情報が被害に遭ったと報じられている。
最近では米ゲーム開発企業のEpic GamesやDisney、Ubuntuのフォーラムでも相次いで情報流出が発覚していた。
ハント氏によれば、いずれも攻撃に使われたのはvBulletinの脆弱性だった。GTAGamingの掲示板がハッキングされた時点で使っていたvBulletinのバージョンは、現行世代よりもメジャーリリース2回分古く、パッチは4年半遅れの状態だったという。
「vBulletinのサイトがハッキングされた事件をさかのぼって調べると、ゼロデイの脆弱性が使われたケースはほとんどない」とハント氏は述べ、こうした問題はvBulletinに限らないと指摘する。
ユーザーは安易なパスワードを複数のWebサイトで使い回す傾向があり、掲示板サイトからパスワードなどが流出すれば、ユーザーのGoogleやFacebookなどのアカウントも危険にさらしかねないと同氏は強調。「ソフトウェア製品の管理は子供を育てるようなもの。継続的に面倒を見る必要があり、もしそれを怠れば悪いことが起きる」と警告している。
関連記事
- Epic Gamesのフォーラムから80万アカウントのユーザー情報流出、vBulletinの脆弱性悪用か
「Unreal Engine」や「Unreal Tournament」といったゲームのフォーラムが不正アクセスされ、80万を超えるユーザーの情報が流出したと伝えられている。今回の攻撃ではフォーラムソフトウェア「vBulletin」のSQL絡みの脆弱性が悪用されたようだ。 - Ubuntuフォーラムから200万人の情報流出、放置の脆弱性が悪用される
攻撃者は、パッチが当てられていなかったvBulletinのプラグイン「Forumrunner」のSQLインジェクションの脆弱性を悪用していた。 - FlashやWindowsに未解決の脆弱性、Hacking Teamの情報流出で発覚
市民監視ツールを手掛けるHacking Teamの製品にAdobe Flash PlayerやWindowsカーネルの未解決の脆弱性を突くコードが含まれていたことが分かった。 - ネット市場に173カ国の大量サーバ情報、サイバー攻撃に悪用の恐れ
世界各国の企業や政府機関などから盗まれたサーバ情報17万件あまりが闇市場を通じて出回っていたことが分かった。
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.