2017年5月、ちょっと興味深い(当事者にとっては断腸の思いの)報告がブログに掲載されました。Macユーザーにとってはファイル転送ソフトの「Transmit」、そしてWeb開発者にとっては著名なエディタ「Coda」でおなじみのPanicが、ソースコード漏えいのいきさつを同社のブログに掲載したのです。これがとても、生々しいものでした。
マルウェアに感染した「普通のアプリ」
このブログによると、きっかけは動画変換アプリとして著名なオープンソースソフトウェア「HandBrake」のアップデートでした。
特定のダウンロードサイトに置かれたHandBrakeのファイルがマルウェア混入版に置き換えられ、これをダウンロードしてしまうとMacの中にあるログイン情報やパスワードなどが含まれるキーチェーン情報が盗まれてしまうというものでした。
Panicの開発者が運悪くこのマルウェアに感染した結果、同社の大事なソースコード(アプリケーションのプログラムそのもの)が盗まれてしまったのです。
同社はすぐにマルウェアを無効にし、秘密鍵と呼ばれる重要な情報を更新。ログを見てどこまで影響が広がったのかを調査したところ、コードの流出が判明したのです。さらに悪いことに、ソースコードを盗んだ攻撃者から「公開されたくなければビットコインを払え」という脅迫を受けたと告白しています。
きっかけは“ほんのちょっとした注意ミス”だったようです。本来なら起動時に要求してこないはずの「管理者権限を要求するパスワードダイアログ」が表示されたというのです。
これはWindowsでは「ユーザーアカウント制御(User Account Control/UAC)」と呼ばれる、何かをインストールしたり設定変更したりしたときに出てくるダイアログと一緒です。これだけで気付けるかというと、個人的には、「相当手慣れた、知識のある人でないと難しい」と思います。このブログでは、その点がおかしかったと振り返りつつも、誤ってその要求に応えてしまった社員を責めることはしていないといい、私はこの点にも共感を覚えました。
自社にとって「何をやられたらアウト」なのか?
このブログ記事でもう1つ興味深い点は、Panicが「いったい何をやられたらアウトなのか」という点を掘り下げている点です。
普通に考えると、アプリケーションを作っている会社が、“そのアプリケーションの根幹をなす「ソースコード」を根こそぎ持っていかれる”ということは、考えられる中でもトップクラスの致命傷のはず。しかし、同社はこう書いています。
関連記事
- 「半径300メートルのIT」記事一覧
- GMO子会社のクレカ情報漏えい事件、“褒められる対応”を考えた
約70万件の情報が漏えいしたとみられるGMOペイメントゲートウェイの不正アクセス事件。100%情報漏えい事故を防ぐことはできない時代、事件を起こした企業がすべき“褒められる対応”を考えてみました。 - あらゆる個人情報を奪われたWIRED記者が犯した“痛恨のミス”
一見、強固に見える「本人確認」にもスキがある――。それを実感させられる事件が米国で起こりました。あらゆる個人情報をハッキングされたこの事件はどうして起こったのでしょうか。こうした事態を防ぐ方法はあるのでしょうか。 - TwitterやECサイトのパスワードは“5分もあれば”盗まれる?
先日、Twitterのパスワードらしき数千万件の情報が流出したという報道がありました。こうしたWebサービスのパスワードは、あなたが思っているより簡単に盗まれてしまう可能性があることを意識していますか? - 意外にあるぞ、無料で強力なセキュリティの教科書
こんなに分かりやすくセキュリティについて解説していて、無料でいいの!? 今回は、そんな驚くべきセキュリティコンテンツを紹介します。 - そんな目的でケータイ電話番号を渡したつもりはないのに……
非公開に設定したはずのケータイ番号が、Facebookの検索で表示されてしまう可能性がある――。先週、そんなニュースが注目を集めました。今回は、このようなことが起こってしまう理由と自衛手段について考えます。
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.