海外における個人情報流出事件とその対応第192回セキュリティ企業のWebサイトも安全性強化が必要か？ (2)セキュリティベンダーも当惑

●攻撃を受けるセキュリティベンダー

　カスペルスキーを攻撃したというルーマニアのハッカーは、さらにセキュリティ企業BitDefenderのポルトガルのWebサイトへのアクセスに成功したとブログで発表している。BitDefenderはルーマニア最大のソフトウェア会社、SOFTWINを作ったFlorin Talpesが、2001年に創設したセキュリティソフトの会社で、またソフトウェア名でもある。

　ハッカーの書き込みとは異なり、BitDefenderの発表では、同社Webサイトは影響を受けていないと言う。『SC MAGAZINE』の記事によると、BitDefenderのスポークスパーソンは「パートナーのサイトが漏えいして、このようなことが二度と起こらないようにパートナーの助けになることができるように、正確に何が起こったのか調べている」と話しているようだ。

さらに、BidDefenderのプレスリリースでは、
・脆弱性はBitDefenderのブログ監視活動で見つかった
・BitDefenderでは直ちにパートナーに通知。サイトはすぐに閉鎖された・パートナーと協力して脆弱性を訂正。サイトを2月9日に再開した
・現在までの調査では顧客データの盗難はなかったと見られる
・攻撃は情報盗難を意図したものではなく、脆弱性を示すだけのために行われていたようだ
・BitDefenderでは顧客のクレジットカード情報をサイトには保管していない。これは顧客のプライバシーを守り、この種の情報が攻撃によってアクセスできないようにするためだ
・最近、SQLインジェクションやクロスサイトスクリプトのような、Webサイトの脆弱性攻撃が多い。BitDefenderが所有する全てのサイトは、定期的に防護処理を行っていて、この種の攻撃への脆弱性を限られたものとしている。パートナーがそのサイトを運営する方法については、BitDefenderでは管理できないものの、防御の成功事例促進のため、協力していく
・今回の攻撃の結果、BitDefenderではパートナーと協力して、Web防御の戦略を再評価。必要な場合はこの種の攻撃を避けるための是正措置を取り、パートナーが適切なWebサイトの防御に必要なサポートとリゾースを持つことができるようにした
とある。パートナーの名前を問い合わせたが、現在のところ回答はない。しかし、BitDefenderのパートナーのWebサイトに脆弱性があったことは確かだ。

●フィンランドのセキュリティ企業も被害

　続いて、やはりhackersblog.orgのブログで、フィンランドのセキュリティ企業F-Secureへの攻撃を行ったと発表があった。ルーマニア人のハッカーが詳細を述べている攻撃は、SQLインジェクションによるもので、コーディングエラーをつくものだったという。また、WebサイトはSQLインジェクションとクロスサイトスクリプトの両方の攻撃に脆弱だった。ハッカーはSQLサーバの情報とデータベースのテーブル名をポスティングしている。

　F-Secure側ではプレスリリースは出していないものの、セキュリティブログで、11日早朝にSQLインジェクションに遭ったことを発表している。また、『SearchSecurity.com』が、F-Secureの北米テクノロジーサービスを担当するデビッド・フレーザー部長に、漏えいが11日にあったことを確認している。

　事件が発生したのは、「マルウェア統計を集めるために使用しているサーバの1つが、攻撃に脆弱な状態だった」ためだ。ただし、漏えいしたのは、重要度の低いウイルスの統計情報で、既に"F-Secure Worldmap"で一般に公表しているものだったらしい。これについては、攻撃を行ったHackerBlogのWeb管理者の1人であるTocsixuも「重要なデータの漏えいではない」と確認している。

　そして、F-Secureでは"徹底的に防御を行うという戦略"を適用しているため、"攻撃は一部成功しただけだった"と言う。データベースの情報を読むことはできたが、書き込みやコントロールはできなかった。また、SQLのユーザはそのデータベースにしかアクセスできなかったために、他のデータへのアクセスも許していない。

　しかし、それでもセキュリティベンダであることから、このような事件が発生したことについて、フレーザー部長は「かなり当惑している」とのコメントを行っている。また、ブログの書き込みを行った、F-Secureのパトリックは、攻撃により、何を改善する必要があるか学ぶことができたと述べている。HackerBlogでは、2月18日に、今度はNorton Resource Centre のドキュメントダウンロードセンターでセキュアでないパラメーターを発見したと発表している。

　今回、連続しているセキュリティ企業への攻撃だが、昨年も起こっている。その際、被害に遭ったのはトレンドマイクロ社だ。日本語と英語のWebページ、数ページが改ざんされた。プレスリリースで、「弊社Webサイトにおいてウイルス情報を提供しているWebページの一部が3月9日21時頃に改ざんされ、3月12日11時30分からウイルス情報ページを閉鎖・対策を施しました」としている。

　この事件では、情報漏えいではなく、「上記期間に当該ページにアクセスした場合、悪意のあるサイトに誘導され、ウイルスに感染する恐れがございました」というよううに、サイトにウイルスをダウンロードさせようとするコードが埋め込まれていた。

　そして、攻撃方法は、「Webアプリケーション上の脆弱性をSQLインジェクションという手法により悪用されたものと分析しています」と、他のセキュリティベンダと同じだ。

●セキュリティ会社が取った対策

　さて、セキュリティ企業だが、事件後、どのような対策を…

【執筆：バンクーバー新報西川桂子】
──
※ この記事は Scan購読会員向け記事をダイジェスト掲載しました
購読会員登録案内
http://www.ns-research.jp/cgi-bin/ct/p.cgi?m-sc_netsec