記事登録
2009年02月10日(火) 19時16分

カスペルスキーのWebサイトに不正アクセス──Webプログラムに脆弱性Computerworld.jp

 ロシア・モスクワにあるセキュリティ・ベンダーKaspersky LabsのWebサイトが、先週末「Unu」と名乗るクラッカーの侵入攻撃を受けた。Unuは、Kasperskyが開設した米国向けサポートWebサイトのプログラムに含まれていたバグを突き、サイト内の一部に不正アクセスしたという。ただし、「個人情報の漏洩はない」と同社は説明している。

【関連画像を含む詳細記事】

 Kasperskyのシニア・リサーチ・エンジニア、ロエル・ショウエンベルグ(Roel Schouwenberg)氏は、このクラッカーが電子メール・アドレスなどの顧客情報にはアクセスできなかったはずだと説明したが、同社の企業イメージが損なわれる可能性は認めた。「こうした事態は、いかなる企業にとっても好ましくないことだが、とりわけセキュリティに関係する企業にとっては大きな問題だ。起きてはならない事態であり、現在当社の総力をあげて調査を進めるとともに、再発防止対策に取り組んでいる」(同氏)

 ショウエンベルグ氏は、1月29日にサポートサイトを再設計した際、Webプログラミングに不具合を発見したと説明しているが、これが事実とすれば、同社はおよそ10日間も自社サイトのバグを放置していたことになる。この点について同氏は、「社内のコード審査プロセスに問題があった」としている。

 このバグのために、KasperskyのサポートサイトはSQLインジェクションに対して脆弱になっており、およそ2,500件の顧客の電子メール・アドレスやおよそ2万5,000件の製品アクティべーション・コードをクラッカーに盗み出される危険性もあった。

 KasperskyのWebサイトのコードは、内部および外部の監査対象となる。同社は、データベース専門家のデビッド・リッチフィールド(David Litchfield)にこの件の調査を依頼しており、24時間以内に詳細な報告を受けることができると説明している。

 Unuは、電子メールを介して2月6日にこのバグを発見し、その1時間後にハッキングを行ったようだ。Kasperskyがこの電子メールを確認したのはかなりあとになってからだったが、米国東部標準時間の8日昼ごろにはWebサイトがハッキングされたことに気付いていたという。同社は、それから15分後、サポート・サイトのコードをバグの無い旧バージョンに戻した。

 Kasperskyは、Unuがルーマニアのハッカーであると見ているが、法的措置は執らない方針だ。ルーマニアの取り締まり当局はリソースが限られており、これ以上の調査は不可能であると判断したためだという。

(Robert McMillan/IDG News Serviceサンフランシスコ支局)

【関連記事】
【解説】セキュリティ・ベンダー各社、2009年は「マルウェア検出手法の刷新を図る」
インテル、同社製CPUで発覚した2件の重大な脆弱性を修正
【Ponemon/ITRC調査】情報漏洩によるダメージ、最も深刻なのは消費者離れ
ロシアのセキュリティ企業、Wi-Fi暗号を破るツールを発売
4月に発覚の「SQL Server」脆弱性、マイクロソフトはいまだパッチをリリースせず

http://headlines.yahoo.co.jp/hl?a=20090210-00000004-cwj-secu

最新のニュース記事一覧
お問い合わせ