カスペルスキーのWebサイトに不正アクセス──Webプログラムに脆弱性|セキュリティ・マネジメント|トピックス|Computerworld

　ロシア・モスクワにあるセキュリティ・ベンダーKaspersky LabsのWebサイトが、先週末「Unu」と名乗るクラッカーの侵入攻撃を受けた。Unuは、Kasperskyが開設した米国向けサポートWebサイトのプログラムに含まれていたバグを突き、サイト内の一部に不正アクセスしたという。ただし、「個人情報の漏洩はない」と同社は説明している。

ロシアのセキュリティ・ベンダーKaspersky Labsは、ウイルス検出率の高さで定評があるが、自社のWebサイトの脆弱性を見抜くことはできなかった

　Kasperskyのシニア・リサーチ・エンジニア、ロエル・ショウエンベルグ（Roel Schouwenberg）氏は、このクラッカーが電子メール・アドレスなどの顧客情報にはアクセスできなかったはずだと説明したが、同社の企業イメージが損なわれる可能性は認めた。「こうした事態は、いかなる企業にとっても好ましくないことだが、とりわけセキュリティに関係する企業にとっては大きな問題だ。起きてはならない事態であり、現在当社の総力をあげて調査を進めるとともに、再発防止対策に取り組んでいる」（同氏）

　ショウエンベルグ氏は、1月29日にサポートサイトを再設計した際、Webプログラミングに不具合を発見したと説明しているが、これが事実とすれば、同社はおよそ10日間も自社サイトのバグを放置していたことになる。この点について同氏は、「社内のコード審査プロセスに問題があった」としている。

　このバグのために、KasperskyのサポートサイトはSQLインジェクションに対して脆弱になっており、およそ2,500件の顧客の電子メール・アドレスやおよそ2万5,000件の製品アクティべーション・コードをクラッカーに盗み出される危険性もあった。

　KasperskyのWebサイトのコードは、内部および外部の監査対象となる。同社は、データベース専門家のデビッド・リッチフィールド（David Litchfield）にこの件の調査を依頼しており、24時間以内に詳細な報告を受けることができると説明している。

　リッチフィールド氏は、過去にも同様の調査を行ったことがあるとしたうえで、「このタイプの調査は比較的容易だ。もちろん攻撃者は自分の痕跡を隠そうとするため、調査が難しい場合もあるが、痕跡がまったくないということはない」と語っている。

　Unuは、電子メールを介して2月6日にこのバグを発見し、その1時間後にハッキングを行ったようだ。Kasperskyがこの電子メールを確認したのはかなりあとになってからだったが、米国東部標準時間の8日昼ごろにはWebサイトがハッキングされたことに気付いていたという。同社は、それから15分後、サポート・サイトのコードをバグの無い旧バージョンに戻した。

　Kasperskyは、Unuがルーマニアのハッカーであると見ているが、法的措置は執らない方針だ。ルーマニアの取り締まり当局はリソースが限られており、これ以上の調査は不可能であると判断したためだという。

　The 451 Groupのアナリスト、ポール・ロバーツ（Paul Roberts）氏は、この事件について、クレジットカード決済会社Heartland Payment Systemsのシステムに対する侵入などと比べればさほど深刻なセキュリティ侵害とは言えないとしながらも、「Kasperskyはセキュリティ企業であり、企業イメージが損なわれるリスクはかなり大きい」と指摘している。