Mozilla、Bugzillaが不正アクセスを受けて未公開の脆弱性情報が流出していたことを公表 15
ストーリー by headless
公開 部門より
公開 部門より
Mozillaは4日、バグトラッカーのBugzillaが不正アクセスを受け、未公開の脆弱性など一般公開されていなかったバグ情報が流出していたことを公表した(Mozilla Security Blogの記事、
VentureBeatの記事、
Ars Technicaの記事)。
一般公開されないバグ情報にアクセスできるのはBugzillaの特権ユーザーのみだが、パスワードが流出した他のWebサイトと同じパスワードを使用していたユーザーのアカウントが不正アクセスに使われたとみられる。確認された不正アクセスで最も古いものは2014年9月で、2013年9月には不正アクセスが行われていた可能性もあるとのこと。
攻撃者のアクセスが確認された未公開バグ185件のうち、重大な脆弱性は53件。このうち43件は攻撃者がアクセスした時点で修正済みであり、攻撃者がアクセスしてから修正までの期間が7日以内のものが2件、7~36日が5件、131日が1件、157日が1件、335日が1件となっている。
修正までの期間が36日以内の脆弱性のうち、1件は8月5日に攻撃が確認され、8月6日のアップデートで修正されたもの。これ以外に流出した脆弱性による攻撃は確認されておらず、8月27日リリースのFirefox 40.0.3ですべて修正されているとのこと。
不正アクセスの発生を受けてMozillaでは、Bugzillaの特権ユーザーにパスワードの変更と2段階認証の利用を義務付け、特権ユーザーの数も減らしていくとのことだ。
一般公開されないバグ情報にアクセスできるのはBugzillaの特権ユーザーのみだが、パスワードが流出した他のWebサイトと同じパスワードを使用していたユーザーのアカウントが不正アクセスに使われたとみられる。確認された不正アクセスで最も古いものは2014年9月で、2013年9月には不正アクセスが行われていた可能性もあるとのこと。
攻撃者のアクセスが確認された未公開バグ185件のうち、重大な脆弱性は53件。このうち43件は攻撃者がアクセスした時点で修正済みであり、攻撃者がアクセスしてから修正までの期間が7日以内のものが2件、7~36日が5件、131日が1件、157日が1件、335日が1件となっている。
修正までの期間が36日以内の脆弱性のうち、1件は8月5日に攻撃が確認され、8月6日のアップデートで修正されたもの。これ以外に流出した脆弱性による攻撃は確認されておらず、8月27日リリースのFirefox 40.0.3ですべて修正されているとのこと。
不正アクセスの発生を受けてMozillaでは、Bugzillaの特権ユーザーにパスワードの変更と2段階認証の利用を義務付け、特権ユーザーの数も減らしていくとのことだ。
特権ユーザー (スコア:2, 興味深い)
BugzillaはそのセキュリティバグのCCリストに入れてもらえば、「普通のユーザー」でも閲覧できるので、実質的にバグごとの招待制として運営できます。ですから、いわゆる「特権ユーザー」は常駐のセキュリティのスペシャリスト数人だけで回していけるはずですし、たとえ大きなプロジェクトに責任を持つ立場でも普通の開発者には「特権」が必要ないはずです。
そういう設計思想があっても、こういう事態になってしまったわけですから、純粋にマネジメントの問題で、要するに、きちんと明文化したルールがないと、一度与えた権限を取り上げるのは難しいってことですよね。こういう機会でもないと。
Re: (スコア:0)
ときどきCCリストに入れているバグにあとからmozilla-employee-confidential(Mozilla社外秘)のタグが付くことがあるんだが、あれいいんだろうか…。
まずいよね (スコア:0)
セキュリティを第一に考えなきゃいけない組織なのに、不正アクセスされちゃ顔潰された感だよね
技術的に深い人と素人の受け止め方は違うんだろうけど、ブラウザのメーカーがやられるのはイメージダウンだよね
IE(MS)以外の選択肢としては圧倒的にChromeとMozillaなのでたとえBugzillaだとしてもMozillaなんだからね
セキュリティを考えるとバグは内緒にしておきたいんだろうけど(発表しろとは言ってないぞ)ちゃんと内緒にしろよ
使って被害受けるのはこっちなんだから。。
Re:まずいよね (スコア:1)
不正アクセス自体を公表しないよりはいいんじゃないの?こんなん、メーカー側が公表しないと闇に埋もれるパターンだろ。
Re: (スコア:0)
不正アクセスされていたことを公表することが、公表しないことよりマシな理由ってなんでしょ?
それに今回は公表しなくても不正アクセスをしていた犯人が暴露したら表になるものなので、隠しても無駄でしょう。
つまり、公表しない企業でインシデントが闇に葬られるよりは良いとは言えないでしょう。
Re: (スコア:0)
犯人が暴露するかどうかわからないうちは「隠しても無駄」なんてことはありえない。Mozillaと同じ判断ができる企業なら、暴露される前に公表していたはず。でも、実際にそんな企業ないでしょ。ほぼ全てのケースで暴露後や横やり後に認めてる。この業界、自主的に発表する方がレアなんだよ、残念ながら。「撃退しました!」みたいな自慢話なら話が別だけどね。
Re: (スコア:0)
> 犯人が暴露するかどうかわからないうちは「隠しても無駄」なんてことはありえない。
え!?
本気で言ってますか、それ。
ま、確かに、1年以上隠していたところ、8月に悪用されて攻撃が発生、その後、流出した脆弱性を全部直してから公表に至ったわけですが、隠しても無駄だったのかも。
> Mozillaと同じ判断ができる企業なら、暴露される前に公表していたはず。
いやいや。
> でも、実際にそんな企業ないでしょ。
> ほぼ全てのケースで暴露後や横やり後に認めてる。
Mozillaも攻撃が発生した後、二か月後に公表ですからね。
立派とは言えませんな。
Re: (スコア:0)
分かってないのか愚かなふりをしているのかわかりませんが、とりあえず事実誤認ですよ。
Re: (スコア:0)
今時の犯人は愉快犯ではなく、金儲けとしてやってるのだから、せっかく得た脆弱性情報を他人に漏らしたりはしないのでは?
Re: (スコア:0)
愉快犯ではなく金儲け目的だったら、ブラックマーケットに売るよね。
未公開の脆弱性だからこそブラックマーケットに公表されるわけ。
そうしたら遅かれ早かれ表にも流れてくるよね。
Re: (スコア:0)
未公開だけど開発チームが発見済みでもある。
つまり余程根の深いものでければ早々に修正される可能性がある。
ほんとに価値が有るのは開発チーム未発見の脆弱性。
でも買い手がそれを判別できるかはまた別の話か…
Re: (スコア:0)
こないだの出会い系会員情報流出の件はかなり愉快犯的だと思うけどなぁ…
愉快犯が脅迫による金稼ぎに失敗して愉快犯として犯行を全うした感じ。
本気で金儲け一辺倒なら(詐欺師経由で)会員を脅迫して情報切り売りだろう。
次標的に対する示威行為だとしても、全部そのまま公開とか芸がなさすぎる。
# インタビューはあるらしいけど読んでない
Re: (スコア:0)
よねよね
Re: (スコア:0)
なんというか、グダグダと長い結果論ですね。
Re: (スコア:0, 荒らし)
ダラだたと長いコメントなので、要約しました。