GNOME Project、サーバへの不正侵入発覚で最新版リリースに遅れ

　GNOME Projectは米国時間23日、同プロジェクトのサーバに何者かが不正に侵入したため、Linux版デスクトップシステムの最新リリースに遅れが出る可能性があると発表した。

　同日に配信された電子メールのなかで、同プロジェクトの管理者は、gnome.orgをホスティングしているサーバが破られたことを示す証拠を見つかったと、開発者らに警告を発した。GNOMEとライバルのKDEは、Linux OS用の主要なデスクトップシステムを開発している。

　「我々は現在も調査を続けており、今後も何かわかり次第報告する」と、GNOMEのシステム管理チームのメンバーで、Red HatデスクトップグループのソフトウェアエンジニアでもあるOwen Taylorは、GNOME Announcementsメーリングリストに投稿した短いメッセージのなかで記している。「侵入されたマシンでホストされていた重要なサービスをできる限り早急に復旧させたい」（Taylor）

　また、GNOMEソフトウェアに関する現在までの開発成果を収めたソースコードリポジトリーは、今回の侵入の影響を受けていないとの管理者の考えも、この短いメッセージのなかに記されている。

　GNOME開発チームのあるメンバーは、プロジェクトメンバーがこのセキュリティ侵害を調査するあいだ、同ソフトウェアの次期バージョンにあたるGNOME 2.6のリリースが数日遅れになりそうだと述べた。同ソフトウェアは、米国時間23日にリリースされる予定だった。

　「今回の件でGNOME開発に大きな支障が出るとは考えていない。バージョン2.6のリリース直前に起こったため、恐らくリリース日が数日遅れることになるだろうが、それだけで済むはずだ」と、このチームメンバーは匿名を条件に述べた。なお、この明白なセキュリティ侵害は、オープンソース開発プロジェクトのセキュリティを脅かす攻撃としては最新のものだ。

　昨年11月、DebianとGentooの各Linuxプロジェクトで、それぞれのサーバへの不正侵入があった。また同月上旬には、ある攻撃者がLinuxカーネルコードの最新版をホストするミラーサーバにアクセスするという事件も起こっている。そして、3月と12月には、GNUプロジェクトで開発中のソフトウェアをホストしていたサーバへの攻撃が試みられ、これらのシステムは破られてしまった。

　ある開発者によると、GNOME Projectのメンバーらは、gnome.orgサーバ上でいくつかの疑わしいプロセスが実行されているのに気がついたという。そこで調査をしてみたところ、テンポラリディレクトリのなかにいくつかのファイルが見つかったが、同チームではこれが何者かによって脆弱性を探すコマンドが実行された証拠だと考えている。

　「我々が現時点で知る限り、サービス復旧のための作業によるサーバ停止以外の被害は生じていない」とあるメンバーは述べ、さらに「無論、我々は徹底的に調査を行って、不正侵入の全容を解明し、調査終了時には開発者のコミュニティに対して十全な更新情報を提供する」と付け加えている。