Tor匿名化サーバに不正コード混入、捜査当局が容疑者割り出しに利用か

[鈴木聖子，ITmedia]

Torサイトより

　通信匿名化ツールTorを使ったサービスが、WebブラウザのFirefoxの脆弱性を突いた不正なコードを仕掛けられていたことが分かった。米連邦捜査局（FBI）の児童ポルノ事件捜査に関連して、捜査当局がユーザーを割り出す目的でマルウェアを仕込んだのではないかとの見方が強まっている。

　Torのブログによると、8月4日ごろ、サーバを運用できる秘匿サービスのアドレスが、大量にTor Networkから消えているとの情報が匿名で寄せられた。突然サービスが利用できなくなったり、不正侵入されたり、攻撃用のJavaScriptが仕掛けられたりしたという情報が飛び交っているという。

　秘匿サービスは、ユーザーが身元を明かさずにサーバを運用し、匿名で情報を交換するなどの目的で使われている。Tor Networkから消滅したのは「Freedom Hosting」という組織にかかわるサービスで、同サービスは、児童ポルノ事件の容疑者としてFBIが行方を追っていた人物が運営していたとの見方が濃厚だ。

　Torによれば、Freedom Hostingが使っているソフトウェアの脆弱性を何者かが悪用してサーバに侵入し、ユーザー向けのWebページに不正なJavaScriptを仕込んでマルウェアに感染させたとみられる。悪用されたのは、Tor Browserのベースとなっている「Firefox 17 ESR」の脆弱性だったようだと指摘した。

　これについてFirefox開発元のMozillaは、4日にFirefoxの脆弱性に関する報告が寄せられたため調べたところ、この問題は、6月25日に修正された未割り当てメモリ実行の脆弱性に起因していることが判明したと伝えた。

　この脆弱性は既に修正されており、最新版の「Firefox 22」や、延長サポート版の「Firefox ESR 17.0.7」を使っていれば危険はないと説明。脆弱性を突く攻撃が出回っているとの情報があることから、ユーザーは自分のFirefoxが最新版に更新されていることを確認してほしいと促している。

　セキュリティ情報サイトの「Krebs on Security」は専門家の話として、Freedom Hostingに仕掛けられたコードは「捜査当局によって運用されていた可能性が極めて高い」と指摘。その気になればマルウェアに任意のコードを実行するなどの機能を持たせることも可能だったはずだが、今回は児童ポルノサイトのユーザーを突き止めることのみが目的だったようだと伝えている。

変更履歴……初出時に「7月25日に修正された」とありましたが、正しくは「6月25日に修正された」でした。記事を訂正いたしました。