Firefoxのプロモーションサイトに何者かが侵入--データ流出の可能性

　オープンソースブラウザ「Firefox」のマーケティングサイト「SpreadFirefox.com」が先週何者かにハックされたが、これにより最大10万人のユーザーデータが流出した可能性が浮上している。

　Mozilla Foundationは米国時間14日夜、SpreadFirefox.comに登録しているユーザーに電子メールを送り、同サイトに何者かが侵入したことを明らかにした。同サイトを動かすソフトウェアにパッチ未適用の脆弱性があり、犯人はこれを悪用して同サイトに進入したという。Mozilla関係者は15日にこの電子メールが本物であることを認めた。

　この電子メールによると、実際に攻撃を受けたのは米国時間10日だったが、発見が遅れて12日になったという。SpreadFirefox.comはその後、調査のために数日間閉鎖された。

　Mozillaによると、同グループではすでに問題のソフトウェアに必要なパッチを適用したという。また、「今回パッチを適用していなかった原因を解明すべく、セキュリティプランを詳細に調べ、今後このようなことがないようプランを修正する」と同グループは電子メールに記している。なお、今回悪用された脆弱性はPHPのなかに存在するものだが、Spread Firefoxが利用しているコンテンツ管理システム「Drupal」はこのPHPで書かれている。

　Mozillaはこの電子メールで、マシンのハッキングはスパムの送信が目的だったとの考えを示した。しかし、名前やパスワードなどのほか、ユーザーが同サイトに提供した電子メールアドレスや住所、生年月日やインスタントメッセージング用の名前といった情報を犯人が入手した可能性もあるとしている。

　ハッキングを受けたことは、セキュリティをFirefox最大のセールスポイントにするMozillaにとって恥ずべき事態だ。

　ネットにおけるFirefoxのマーケティングは、SpreadFirefoxを中心に展開されている。Mozillaは同サイトをうまく利用してボランティアを動員し、ウェブサイトにボタンを表示してもらうといった無償のマーケティングテクニックや、The New York Times紙への広告掲載を目指した募金活動などを通じて同ブラウザの普及を促進してきた。

　今回のサイト進入を受け、Mozillaはおよそ10万人と推測されるSpreadFirefoxユーザーにパスワードの変更を促している。Mozillaでは、別のサイトでも同じパスワードを使っている場合は、それらについても変更するよう勧めている。