Ubuntu Forumが不正アクセスされ、ユーザーの情報が流出
Ubuntu公式のUbuntu Forumsが不正アクセスされ、ユーザーの情報が流出しました。
何が起きたのか
2016/7/14 20:33(UTC)、Ubuntu Forums Councilのメンバーが、何者かがフォーラムのデータベースのコピーを作成したと、CanonicalのISチームへ報告しました。いくつかの初期調査を行ったあと漏洩したデータを確認し、予防策としてフォーラムを停止しました。
SQLインジェクション
更に深い調査を行った結果、フォーラムで使用されているForum Runnerアドオンの脆弱性をついた攻撃であることが分かりました。Forum Runnerアドオンには、まだパッチが適用されていませんでした。
この脆弱性は、SQLインジェクションとして知られている脆弱性です。
攻撃者はこの脆弱性を利用すると、フォーラムのデータベースへある特定のフォーマットのSQLを発行できます。
そのためすべてのテーブルからデータを読み込むことができますが、調査の結果を踏まえると攻撃者は「user」テーブルからしかデータを読み込んでいないはず、とのことです。
攻撃者は「user」テーブルの部分的なデータをダウンロードするため、この脆弱性を利用し「user」テーブルにアクセスしました。
漏洩した情報
攻撃者がコピーした「user」テーブルには、以下の情報が含まれています。- ユーザー名
- メールアドレス
- IPアドレス
影響を受けるアカウントの数は、200万アカウントにのぼります。
パスワードは漏洩していない
ユーザーのパスワードは漏洩していません。「user」テーブルに保存されているパスワードは、ランダムな文字列で構成されています。
これはUbuntu Forumsのログインは、Ubuntu Single Sign Onのログインで行っているためです。
従って攻撃者がダウンロードしたパスワードは、ランダムな文字列になります。
ただしリスクがないわけではない
パスワードが漏れていないと言ってもメールアドレスが漏れているため、オンラインストレージサービスなどメールアドレスをログインに使用しているサービスを利用しており、かつ、安易なパスワードを使用している場合、それらのサービスにログインされてしまう可能性があります。他のサービスでユーザー名を利用している場合も同様です。
パスワードに「1234」など安直なパスワードを設定していないか確認し、脆弱なパスワードであれば変更しておきましょう。
またサービスにもよりますが、2段階認証などパスワード以外の認証方法が提供されている場合、より強固な認証方法を有効にしておくのも良いです。
加えて、心当たりがない送信者からのメールに注意してください。
調査の結果
調査の結果、以下の内容には問題ないとのことです。- Ubuntuのコードやリポジトリー及び更新の仕組み
- ユーザーの有効なパスワード
従って、OS(Ubuntuやフレーバー)には影響がありません。
また以下のアクセスは行われていないはず、とのことです。
- フォーラムデータベースへのリモートSQLによる読み込み以上のアクセス
- フォーラムデータベースへのリモートSQLによる書き込みアクセス
- すべてのフォーラムアプリケーション及びデータベースサーバーへのシェルによるアクセス
- フォーラムのフロントエンドサーバーへのアクセス
- 他のCanonicalやUbuntuサーバーへのアクセス
すでに行った対応
この件を受けて、以下の対応が実施済みです。- vBulletinが動作しているサーバーをバックアップし、サーバー内のデータを完全に消去した上で1からサーバーを構築し直しました。
- vBulletinに最新のパッチを取り込み、vBulletinを更新しました。
- すべてのシステムとデータベースのパスワードをリセットしました。
より強固なセキュリティーを実現するため、更に以下の対応を行っています。
- ModSecurityとWebアプリケーションファイアウォールを導入し、将来似たような攻撃に備えました。
- vBulletinの監視プロセスを改善し、迅速にセキュリティーパッチを適用できるようにしました。
