無料ホスティングサービス000webhostで情報漏えい--セキュリティ体制に問題か

　無料ウェブサイトホスティングサービスの000webhostで情報漏えいがあった。この問題で、同社のセキュリティ体制に厳しい視線が注がれている。

　000webhostは、PHPとMySQLに対応した無料のウェブサイトホスティングサービスで、全世界に膨大な数のユーザーがいる。米国時間10月28日、000webhostは「Facebook」のメッセージで、同社のメインサーバでデータ漏えいがあったことをユーザーに告知した。

顕微鏡が捉えた神秘--ニコン「Small World」コンテストの上位作品

　ハッカーは、パッチが当てられていない古いバージョンのPHPで書かれたエクスプロイトを使って000webhostのシステムに悪意のあるファイルをアップロードし、システムに侵入した。ユーザー名、パスワード、電子メールアドレスを含むデータベース全体が漏えいしただけでなく、それらの情報がネットに公開された。

　000webhostは、アップロードされた悪意のあるファイルは侵入発覚後にすべて削除し、「今後このような事故がないよう、すべてのパスワードを変更し、暗号を強化した」としている。

　興味深い発言だ。Developer Security部門のMicrosoft MVPアワード受賞者で、ウェブサイト「Have I been pwned」のオーナーであるTroy Hunt氏は、漏えいした情報には平文のパスワードが含まれていたと述べている。000webhostが保管してあるパスワードをハッシュ化すらしていないとすると、攻撃者は、パスワードを盗むだけでそのまま使うことができる。

　そうなると、同じパスワードをほかのサービスで使っているユーザーは、できるだけ早くパスワードを変更しなければならない。000webhostでも、サイト全体のリセット後にアカウントのパスワードを変更するようユーザーに求めているが、この記事を書いている時点で、000webhostのウェブサイトは修復のためにダウンしており、いまのところ顧客にできることはない。

　Hunt氏はまた、000webhostのメンバーエリアは決して安全ではなく、情報漏えいは2015年3月にあったと報じられているが、セキュリティの改善はほとんどなされていないようだと述べている。

　セキュリティ情報公開サービスのXSSposedが、今回の情報漏えい問題に関するページを公開し、このサイバー攻撃の根本原因だったかもしれない脆弱性について説明している。10月26日、ある研究者が、すでにセキュリティチームから報告があった6件の脆弱性とは別に、「000webhost. com」上のクロスサイトスクリプティングの脆弱性を報告した。この脆弱性は、まだパッチが当てられておらず、ユーザーを危険にさらしている。