［米国］
レッドハットのRHEL/Fedoraインフラ・サーバがハッキングされる

同社幹部、署名鍵のパスフレーズ漏洩など致命的な被害はないと強調

（2008年08月25日）

　米国Red Hatは8月22日、Fedoraパッケージの署名鍵のパスフレーズを格納したシステムを含む、Red Hat Enterprise Linux（RHEL）およびFedora Projectのインフラ・サーバが第三者によってハッキングされたことを明らかにし、経緯と講じた対策を説明した。

　Red HatのFedoraプロジェクト・リーダー、ポール・フリールズ（Paul Frields）氏は22日、同プロジェクトのメーリングリスト「fedora-announce-list」に「Infrastructure Report」の件名で、今回のセキュリティ侵害に関する発表を行った。Red Hat幹部は、この発表は同社の正式な声明だとしている。

今回のハッキングに伴いRed Hatは、同社のパッケージがユーザーのシステムにインストールされているかどうかをチェックするためのスクリプトを刷新し「OpenSSH blacklist script」ページで公開した

　ハッキングを行ったクラッカーは、RHEL 4（「i386」および「x86_64」アーキテクチャのみ）とRHEL 5（x86_64アーキテクチャのみ）に関連する少数のOpenSSHパッケージに署名することに成功した。Red Hatは、クラッカーが「Fedoraパッケージの署名鍵のセキュリティ確保に使われるパスフレーズ」を入手していないことを「強く確信している」とコメントした。ただし、同社は万一のために、これらのRHELパッケージ、改竄されたパッケージ、これらのパッケージがユーザーのシステムにインストールされているかどうかをチェックするスクリプトを新しいものに変更した（Red Hatの「OpenSSH blacklist script」ページ）。

　Red Hatがこの問題について示唆したのは8月14日で、この日フリールズ氏、Fedoraのインフラ・チームが、一部サービスの停止につながる可能性のある問題を調査していることを明らかにした。そして、16日には調査が継続中であることが報告された。そのころには、Red Hatの社内システムがハッキングされたのかもしれないとのうわさが広がり、Red Hatの22日の発表で実際にそうだったことが確認された。

　フリールズ氏は22日の発表で、Fedoraの署名鍵の変更には、すべてのFedoraシステムのオーナーや管理者の賛成を得るステップが必要であり、このステップは必要ならば公表されると述べた。

　同氏はまた、Fedoraパッケージおよびソースコードをチェックした結果として、Red Hatは今回の件でFedoraパッケージのセキュリティが侵害されたとは考えておらず、「現時点で、署名付きFedoraパッケージをインストールまたはアップグレードしようとするFedoraユーザーにとって、リスクはまずないと確信している」とコメントした。なお、Fedora Projectは今月、次期バージョンとなるFedora 10（開発コード名：Cambridge）のアルファ版をリリースしている（関連記事）。

　今回のハッキング報告に伴い、Red HatはOpenSSHの更新プログラムとユーザーが自衛する方法の説明を公開した（Red Hatの「openssh security update」ページ）。同社は、更新プログラムやパッチをユーザーに提供するためのシステムであるRed Hat Networkが侵害されていないことを「強く確信している」としながらも、正式なRed Hatサブスクライバー以外のチャネルを通じてRed Hatのバイナリ・パッケージを入手した可能性があるユーザーを想定し、今回の注意喚起を行ったと述べた。

　フリールズ氏は、FedoraとRed Hatでは侵害の影響は同じではなく、Fedoraパッケージの署名鍵は、RHELのものとは異なるということも強調した。

(John Fontana／Network World米国版)