ハッカー、IBM社のソフトを使用したサイトを攻撃するツールを公開
デンマークのハッカー集団は、IBM社製ソフトウェアNet.Commerceの旧バージョン(4.1以前)のマクロ機能にある脆弱性を悪用し管理者のパスワードを解読するツールを公開した。それにより、ハッカーは同ソフトを使用しているサイトの管理者を装ってサイトにログインし、
国際
海外情報
あるセキュリティ関連情報サイトが検索エンジンで調べたところ、同ツールを利用して管理者パスワードが解読される恐れのある脆弱なサイトは10あまりに上った。その中には、大手自転車メーカのサイト、宝石販売サイト、有名大学のチケット販売サイトなどが含まれていたという。
今週(3月第2週)、サイト上に公開された同ツールは、Net.Commerceが固定鍵を使ってパスワードを暗号化している事実を悪用したものだ。その鍵はパッケージがインストールされた際に変更可能となっているが、殆どのサイト管理者はデフォルトのまま鍵を使用している。xor37hと名乗る同ツールの作成者は「Net.Commerceのプログラムをデバッグしている時、Net.Commerceアプリケーションのハードコードされている鍵が有効であることを発見した」と述べた。
Net.Commerceのマクロにある脆弱性が報じられた後、IBM社はその問題に関する告知を同社のサイトに掲載し、また、Net.Commerceの顧客に対してはマクロを適切にコード化することでセキュリティ上の危険性を回避するよう呼びかけた。同社の広報担当は「Net.Commerceアカウントに直接、電子メールを送付し注意を呼びかけたが、多くのサイトはその告知に関心を払ってないようだ」と述べている。
3月7日現在まで、1600人以上がパスワード解読ツールを掲載しているサイトを訪れた。
《ScanNetSecurity》