米政府機関の脆弱性データベースがマルウェア感染でダウン

[鈴木聖子，ITmedia]

　米国国立標準技術研究所（NIST）の脆弱性情報データベース（NVD）のページが、数日前からアクセスできない状態になっている。米Adobe SystemsのColdFusionの脆弱性を突くマルウェアに感染したとの情報もある。

　NISTの脆弱性情報データベースのページは日本時間の3月15日現在、「Site/Page Not Available」と表示され、「Webサービスで問題が発生しているため、現在利用できません。できるだけ早期のサービス復旧に努めています」という告知が掲載されている。

NISTサイトのメッセージ

　この問題をGoogle+で指摘したセキュリティ専門家は、NISTにメールで状況を問い合わせたところ、マルウェア感染の事実について説明する返信を3月14日付で受け取ったという。

　NIST担当者からの返信メールでは、「脆弱性情報データベースの一般向けWebサイトおよび他の複数のNISTがホスティングしているWebサイトは、NISTのWebサーバ2台でマルウェアが見つかったために、現在利用できません」と説明している。

　3月8日にNISTのファイアウォールが不審な動作を検出したため、不審なトラフィックを遮断する措置を取り、サーバをダウンさせて調べた結果、ソフトウェアの脆弱性に原因があることが分かったという。「NVDやNISTの一般向けページにマルウェアが含まれていたり、ユーザーにマルウェアを感染させていた形跡はない」としている。

　英ITニュースサイトのRegisterはNISTのマルウェア感染について、利用されたのはAdobeのColdFusionの脆弱性だったと伝えた。NISTの広報はRegisterに対し、「ベンダーがこのソフトウェアの脆弱性のことを知る前に、サーバが感染した」と話している。感染してから発覚するまでに2カ月以上かかっていたことになる。

　Adobeは今年1月4日、ColdFusionの未解決の脆弱性を突いた攻撃が発生していると警告し、同15日にこの脆弱性を修正するホットフィックスを公開していた。