kledgeb Ubuntuの使い方や日本語化、アプリの使い方を紹介しています。

Ubuntu Forumが不正アクセスされ、ユーザーの情報が流出

Ubuntu公式のUbuntu Forumsが不正アクセスされ、ユーザーの情報が流出しました。



何が起きたのか

2016/7/14 20:33(UTC)、Ubuntu Forums Councilのメンバーが、何者かがフォーラムのデータベースのコピーを作成したと、CanonicalのISチームへ報告しました。

いくつかの初期調査を行ったあと漏洩したデータを確認し、予防策としてフォーラムを停止しました。

SQLインジェクション

更に深い調査を行った結果、フォーラムで使用されているForum Runnerアドオンの脆弱性をついた攻撃であることが分かりました。
Forum Runnerアドオンには、まだパッチが適用されていませんでした。
この脆弱性は、SQLインジェクションとして知られている脆弱性です。

攻撃者はこの脆弱性を利用すると、フォーラムのデータベースへある特定のフォーマットのSQLを発行できます。
そのためすべてのテーブルからデータを読み込むことができますが、調査の結果を踏まえると攻撃者は「user」テーブルからしかデータを読み込んでいないはず、とのことです。

攻撃者は「user」テーブルの部分的なデータをダウンロードするため、この脆弱性を利用し「user」テーブルにアクセスしました。

漏洩した情報

攻撃者がコピーした「user」テーブルには、以下の情報が含まれています。

  • ユーザー名
  • メールアドレス
  • IPアドレス

影響を受けるアカウントの数は、200万アカウントにのぼります。

パスワードは漏洩していない

ユーザーのパスワードは漏洩していません。
「user」テーブルに保存されているパスワードは、ランダムな文字列で構成されています。
これはUbuntu Forumsのログインは、Ubuntu Single Sign Onのログインで行っているためです。
従って攻撃者がダウンロードしたパスワードは、ランダムな文字列になります。

ただしリスクがないわけではない

パスワードが漏れていないと言ってもメールアドレスが漏れているため、オンラインストレージサービスなどメールアドレスをログインに使用しているサービスを利用しており、かつ、安易なパスワードを使用している場合、それらのサービスにログインされてしまう可能性があります。
他のサービスでユーザー名を利用している場合も同様です。

パスワードに「1234」など安直なパスワードを設定していないか確認し、脆弱なパスワードであれば変更しておきましょう。

またサービスにもよりますが、2段階認証などパスワード以外の認証方法が提供されている場合、より強固な認証方法を有効にしておくのも良いです。

加えて、心当たりがない送信者からのメールに注意してください。

調査の結果

調査の結果、以下の内容には問題ないとのことです。

  • Ubuntuのコードやリポジトリー及び更新の仕組み
  • ユーザーの有効なパスワード

従って、OS(Ubuntuやフレーバー)には影響がありません。
また以下のアクセスは行われていないはず、とのことです。

  • フォーラムデータベースへのリモートSQLによる読み込み以上のアクセス
  • フォーラムデータベースへのリモートSQLによる書き込みアクセス
  • すべてのフォーラムアプリケーション及びデータベースサーバーへのシェルによるアクセス 
  • フォーラムのフロントエンドサーバーへのアクセス 
  • 他のCanonicalやUbuntuサーバーへのアクセス

すでに行った対応

この件を受けて、以下の対応が実施済みです。

  • vBulletinが動作しているサーバーをバックアップし、サーバー内のデータを完全に消去した上で1からサーバーを構築し直しました。
  • vBulletinに最新のパッチを取り込み、vBulletinを更新しました。
  • すべてのシステムとデータベースのパスワードをリセットしました。

より強固なセキュリティーを実現するため、更に以下の対応を行っています。

  • ModSecurityとWebアプリケーションファイアウォールを導入し、将来似たような攻撃に備えました。
  • vBulletinの監視プロセスを改善し、迅速にセキュリティーパッチを適用できるようにしました。

現在は復旧している

上記の対策を施した後Ubuntu Forumsは復旧しており、現在Ubuntu Forumsは利用可能です。

Ubuntu日本語フォーラムとは無関係

今回の問題はUbuntu Forumsに対して起きた問題であり、Ubuntu Japanese Teamが運営しているUbuntu日本語フォーラムとは無関係です。
 

関連コンテンツ
同一カテゴリーの記事
コメント
オプション