ここから本文です

パナマ文書の衝撃(2)ハッキングの手口を考察する

THE ZERO/ONE 5月31日(火)10時40分配信

WordPressのプラグインを提供しているWordfenceの研究チームが指摘した「WordPressの古いプラグインの問題」は、モサック・フォンセカのメールサーバーを攻撃する手法のひとつを示したものだった。パナマ文書として流出した1150万点のファイルのうち480万点以上はメールのデータなので、半数近くのファイルはこのようにして盗まれたのかもしれない。しかし残りのデータ、たとえばデータベースのフォーマットになっている300万点以上のファイルなどまで、同じ手法で抜き取られたとは考えづらい。

モサック・フォンセカが放置していた「もうひとつのCMS脆弱性」

この点については、「もうひとつのサイト」に残されていた脆弱性を悪用された可能性がある。前回お伝えしたとおり、モサック・フォンセカは顧客用のポータルサイトをDrupalで運営している。同社の顧客は、このポータルサイトにログインすることで、取引情報などの詳細な機微情報にアクセスし、その情報をモサック・フォンセカと共有できる。つまり、そのサーバーには顧客による取引や、その他の活動を記録したデータが蓄積されていたと考えられる。

『Forbs』は4月5日、「モサック・フォンセカの顧客用のポータルサイトでは、バージョン7.23のDrupalが利用されていた可能性が最も高い」と報じた。Drupalは、WordPressほど一般的ではないものの、CMSを選ぶ際の有力な選択肢のひとつであり、ホワイトハウスやMTV、Sony Musicなどのビッグネームにも利用されている。このDrupalは2014年に極めて深刻なSQLインジェクションの脆弱性「CVE-2014-3704」を修復していた。このCVE-2014-3704は、あまりにも大量の侵害事件を巻き越した脆弱性であるため、当時は「Drupalgeddon(Drupalとハルマゲドンを合わせた造語)」と呼ばれたほどだった。

CVE-2014-3704に対する修復がどれほど重要だったのかは、当時のDrupalによる緊迫感にあふれた案内を見ていただくのが一番だろう。まずパッチがリリースされた時点から、前バージョンに残された脆弱性の危険度は25段階で最高の「25」として紹介された。そしてDrupal は、このリリースを行った7時間後、ユーザーに対して「もしもあなたが、この7時間のうちにパッチを当てていないのなら、すでに侵害されていると考えてほしい」と強い言葉で警告。さらに「7.32にアップデートするだけで、バックドアが取り除かれるわけではない」というボールド体の見出しをつけ、「もしもあなたがまだパッチを当てていないのなら、ただちにパッチを当ててから、この案内を読み続けるように」と記した後、今後の対処について順を追って説明した。

Forbesの主張が正しいのであれば、この警告を無視したモサック・フォンセカは、世界中の要人たちの機微情報を扱うポータルサイトを「極めて脆弱な」バージョンのDrupalで運用しており、それは7時間どころか1年以上も続いたということになる。その悪名高い脆弱性を狙った攻撃者が、同社の怠慢に気づいてバックドアを仕掛けていたなら、あらゆる顧客のあらゆる情報を、のんびり丸ごとダウンロードすることも可能だっただろう。ちなみに現在、Drupal 7.23には少なくとも28の脆弱性の存在が確認されている。

前回も紹介したWordfenceのブログは、4月8日の記事でForbesによる指摘を説明し、問題のポータルサイトのCHANGELOG.txt(サイトで利用されているDrupalのバージョンを確認できる)のスクリーンショットを掲載した。どうやらForbesが主張したとおり、モサック・フォンセカは「パナマ文書」が公になった後も、実際にもDrupal 7.23を利用していたようだ。この記事の中でWordfenceは次のように結論づけている。「モサック・フォンセカのメールはWordPressを狙った攻撃によって、またPDFやドキュメントファイルはDrupalを狙った攻撃によって流出した可能性が高いと我々は考える」

ただし、ここまで語られてきたのは、いずれも仮説だ。攻撃者が、古いバージョンのCMS(およびプラグイン)に残されていた脆弱性を悪用し、モサック・フォンセカの情報を盗んだことを裏付ける証拠はない。しかしWordfence やForbesが誤った情報を伝えているのでなければ、それらの2つを利用したハッキングは可能だったようだ。

これは私たちとっての教訓でもある。なぜならCMSで作ったウェブサイトを、ついつい放置するユーザーの数は非常に多いからだ。たとえば2014年には「WordPressで運営されていた16万以上のサイトがDDoS 攻撃のボットネットに取り込まれた現象」が報告されたが、この問題は単にCMSを利用している各自がプラグインを更新していれば防ぐことができた。たとえコンテンツの更新を怠っても、そこで利用されているプログラムのアップデートを怠ってはならない、と私たちも肝に銘じるべきだろう。

1/2ページ

最終更新:5月31日(火)10時40分

THE ZERO/ONE

TEDカンファレンスのプレゼンテーション動画

暗闇で光るサメと驚くほど美しい海洋生物たち
波のほんの数メートル下で、海洋生物学者であり、ナショナルジオグラフィックのエクスプローラーかつ写真家のデビッド・グルーバーは、素晴らしいものを発見しました。海の薄暗い青い光の中で様々な色の蛍光を発する驚くべき新しい海洋生物たちです。彼と一緒に生体蛍光のサメ、タツノオトシゴ、ウミガメ、その他の海洋生物を探し求める旅に出て、この光る生物たちがどのように私たちの脳への新たな理解を明らかにしたのかを探りましょう。[new]