米Yahooの複数のサーバが過去2週間にわたり、広く拡散している「Shellshock」脆弱性を悪用するハッカーに侵入されていたと、セキュリティ研究者が述べている。Yahooは米国時間10月6日、ユーザーデータはまったく危険にさらされていないと述べた。
Future South TechnologiesのプレジデントJonathan Hall氏が5日夜に発表した報告書によれば、侵入されたYahooのサーバのインターネットアドレスは、被害を受けたサーバの1つが「Yahoo Sports」サーバであることを示しているという。さらに、1994年に公開された検索エンジン「Lycos」やファイル圧縮ツール「WinZip」もShellshock脆弱性に対して無防備な状態にある、と同報告書には書かれている。
Yahooは6日午後、Shellshock脆弱性によって不正侵入されていた「ごく一部の」同社のウェブサーバを特定したことを米CNETに対して当初認めていた。しかし、Yahooの情報セキュリティ担当責任者Alex Stamos氏は、この声明を後になって訂正した。
「われわれは6日に入って、セキュリティ脆弱性に影響を受けたと検知されたごく一部のサーバを隔離したことを報告した」とStamos氏はブログの投稿で述べた。「状況を完全に調査した結果、サーバは実際にはShellshockによって影響を受けていないことが分かった」(Stamos氏)
この問題の原因は、攻撃時点でYahooが動かしていたデバッギングスクリプトに固有の異なる脆弱性であったとStamos氏は述べた。同氏は、攻撃中に顧客データが危険にさらされることは一切なかったと繰り返した。
Yahooの広報担当は米CNETに対し、今回の不正侵入は「単発的な出来事」だと説明し、「それらのサーバにユーザー情報は全く保存されていなかった」と述べていた。
Yahooは用意した声明の中で、「昨夜、われわれは不正侵入の被害に遭った複数のサーバを隔離した。現時点で、ユーザーデータが不正アクセスを受けたことを示す証拠はない」と述べていた。
Hall氏は同社の対応に満足していない。
WinZipは声明で米CNETに対し、攻撃を受けた際にユーザーデータの漏洩はなかったと述べた。また、WinZipの広報担当者は「問題が特定されており、適切なソフトウェアアップデートを適用する」予定だと述べた。
Lycosはコメントを控えた。
この記事は海外CBS Interactive発の記事を朝日インタラクティブが日本向けに編集したものです。
CNET Japanの記事を毎朝メールでまとめ読み(無料)
ZDNET×マイクロソフトが贈る特別企画
今、必要な戦略的セキュリティとガバナンス
ものづくりの革新と社会課題の解決
ニコンが描く「人と機械が共創する社会」