「Firefox」マーケティングサイト、2度目の攻撃を受け一時的に閉鎖へ

　オープンソースウェブブラウザ「Firefox」のマーケティングサイトSpread Firefoxが再びハッキングされ、10月後半までネットワークには接続されないことになった。

　Spread Firefoxチームが米国時間4日に同サイトの登録ユーザーに送信した電子メールによると、今回のセキュリティ侵害は今週に入って検知されたという。被害を受けたのは「SpreadFirefox.com」だけで、中心となる「Mozilla.org」ウェブサイトや「Mozilla」ソフトウェアに影響はなかったと、電子メールには記されている。

　攻撃者は、Spread Firefoxのウェブサイトをホスティングしているサーバを、「TWiki」のセキュリティ脆弱性を悪用して攻撃した。TWikiは、「wikis」と呼ばれるウェブページをオーサリングするためのオープンソースコラボレーションソフトウェアである。

　サイトの運用に使用されているソフトウェアの脆弱性が悪用され、同サイトがハッキングの被害に遭ったのはこれで2度目だ。2005年7月には、PHPに存在していたパッチ未適用のセキュリティホールが悪用され、同サイトのハッキングが起こっている。同サイトで利用されているコンテンツ管理システム「Drupal」は、PHPスクリプティング言語で記述されている。

　Mozillaは7月の攻撃以降、修復の必要のあるセキュリティ問題を見落とさないようにするプロセスを新たに導入していた。Spread Firefoxチームからの電子メールには、「TWikiソフトウェアは中心となるSpread Firefoxサイトで使用されていなかったため、残念ながら、こうしたプロセスでもTWikiの問題を認識できなかった」と記載されている。

　同電子メールによれば、Spread Firefoxサイトはしばらくオフライン化され、一から作り直されるという。「システムが再構築された際には、全ソフトウェアのセキュリティアップデートの適用が遅れていないことを確認する監査機能が備わる予定だ」と、Spread Firefoxチームは電子メールの中で述べている。

　なお、今回の攻撃がユーザー情報の漏えいにつながる可能性は非常に低いという。しかし、Spread Firefoxチームは、同サイトが再びオンラインとなった際には、念のためパスワードを変更した方がよいとユーザーに勧めている。サイト上の告知には、同サイトは10月15日頃にアクセス可能になる予定だと記されている。