Canonicalのジェーン・シルバーCEOは7月15日(世界標準時)、Ubuntuのコミュニティフォーラム「Ubuntu Forum」がSQLインジェクションによるハッキングの被害に遭ったことを公式に発表した。このハッキングにより200万人分のユーザ情報が漏洩したという。
- Notice of Ubuntu Forums breach; user passwords not compromised | Ubuntu Insights
発表によれば、7月14日の20時33分にCanonicalの担当者が「フォーラムのデータベースのコピーを入手した」という声明に気づき、いったんフォーラムをシャットダウン、その後の調査でフォーラムに実装していたモバイル用のアドオン「Forum Runner」のバグ(vBulletinの脆弱性)を攻撃の入り口にしたSQLインジェクションの痕跡が認められたとしている。vBulletinはオンラインフォーラムで主流の掲示板ソフトウェアとして知られるが、以前からその脆弱性を突いた攻撃が繰り返されており、日本を含む各国で多くの被害が報告されていた。今回の攻撃も、vBulletinの最新のパッチが当たっていなかったことに起因している。
この攻撃によりフォーラムに登録していた200万アカウントのユーザ名、メールアドレス、IPアドレスなどが流出したが、Canonicalは「攻撃者は(データベースの)ユーザテーブルを読み込んだだけで、パスワード流出によるアクティブな攻撃は起こっていない」と主張している。パスワードファイルもダウンロードされたものの、ハッシュ&ソルトが実施された状態のランダムな文字列であるため、復元されているとは考えにくいという。
シルバーCEOは「この攻撃者が不可能だったこと」として以下の点を挙げている。
- Ubuntuのコアレポジトリおよびアップデートメカニズムへのアクセス
- 有効なパスワードの入手
- フォーラムデータベースへのリモートでの書き込み
- フォーラムデータベースおよびアプリケーションへのシェルアクセス
- フォーラムのフロントエンドサーバへのアクセス
- CanonicalおよびUbuntuの他のサーバへのアクセス
Canonicalはすでに、サイト内のvBulletinが実装されているサーバをすべてバックアップした上でクリーン&リビルドを行い、最新のパッチを当てたことを報告している。さらに、すべてのシステムとデータベースのパスワードをリセットし、新たにWAF(Web Application Firewall)としてModSecurityをインストールしたという。またvBulletinに関しては「セキュリティパッチが適切に適用されているかどうかのモニタリングを改善していく」と約束している。