ハッカーがFirefoxユーザーを標的にし、Mozillaから機密セキュリティデータを盗む

MozillaのバグトラッカーがハッカーによってFirefoxユーザーを攻撃するために標的にされる

Mozilla財団は金曜日に、バグトラッキングシステム「Bugzilla」がブラウザの脆弱性を通じてハッカーに標的にされ、未修正のゼロデイバグに関する情報が盗まれたことを確認しました。

ハッカーは、Firefoxウェブブラウザの未修正のゼロデイバグについて1年以上前から知っていた可能性があると推測されています。Mozillaによると、攻撃者はBugzillaに特権アクセスを持つユーザーアカウントに侵入し、非公開のゼロデイ脆弱性情報を含む情報を盗むことができました。

「攻撃者が2013年9月からアクセスしていた可能性があるといういくつかの兆候があります」と、この非営利団体はセキュリティ侵害に関するFAQ [PDF]で追加しました。これは、脆弱性が修正される前に、ハッカーがソフトウェアの欠陥を完全に利用し、利益を享受するための十分な時間があったことを意味します。

FAQによると、ハッカーは約185の非公開の秘密バグにアクセスしていました。その中で、Mozillaは53を「深刻な」脆弱性と見なしています。最も古いバグは335日以上修正されなかったと言われており、これはハッカーがMozillaの開発者によって修正される前に脆弱性を利用するために11ヶ月以上の時間を持っていたことを意味します。

ハッカーが侵入した時点で、Mozillaによれば、43の深刻な欠陥はすでにFirefoxブラウザで修正されていました。しかし、Firefoxに対するリスクは、ハッカーが修正される前にアクセスしていた残りの10のバグにあります。

侵害について、MozillaはFAQで「36日未満で開かれたバグの1つが、2015年8月6日に修正された脆弱性を利用した攻撃に使用されました。それ以外の攻撃については、他のバグが悪用されたというデータはありません」と述べました。

ハッカーが完全に利用し、利益を得た1つのバグは、Firefoxユーザーが訪れたロシアのニュースサイトからプライベートデータを収集するものでした。

しかし、Mozilla Bugzillaの侵害の興味深い点は、ハッカーがBugzillaを侵害するためにゼロデイの欠陥について知っている必要がなく、ハッカーが新しいFirefoxのゼロデイの欠陥について学ぶことができたことです。

「私たちの調査で明らかになった情報は、ユーザーが他のウェブサイトでBugzillaのパスワードを再利用しており、そのパスワードがそのサイトでのデータ侵害を通じて明らかになったことを示唆しています」とMozillaのFAQは述べています。

つまり、誰かがアクセスするべきでないパスワードを持っていたか、または弱いものであったか、あるいは別の侵害されたウェブサイトで再利用された可能性があるということです。全体として、パスワードの再利用は大きな問題であり、GoogleとFacebookはユーザーを侵害から保護するために、定期的にパスワードダンプを確認しています。

Firefoxのセキュリティリードであるリチャード・バーンズは、金曜日にブログ投稿でMozillaがBugzillaのセキュリティを改善するために何をしているかについて詳細に書きました。

「私たちは、将来のこの種の攻撃のリスクを減らすためにBugzillaのセキュリティプラクティスを更新しています。最初の即時のステップとして、セキュリティに敏感な情報にアクセスできるすべてのユーザーにパスワードの変更と二要素認証の使用を義務付けました。」

さらに、バーンズは、特権ユーザーの各レベルがアクセスできる内容に新しい制限が設けられているため、将来的にアカウントが侵害された場合、ハッカーがアクセスできるデータが少なくなると述べました。

「私たちはこの事件について関連する法執行機関に通知し、さらなる調査の結果に基づいて追加の措置を講じる可能性があります」とバーンズは述べました。

以前にMozillaがその機密情報に対して二要素認証を遵守しなかった理由は驚きです。なぜなら、それがなければ、ハッカーがアクセスを得るために必要なのは1セットの資格情報だけだったからです。

先週リリースされた最新のFirefoxバージョンは、ハッカーが過去にアクセスした可能性のある問題を修正しました。これはFirefoxユーザーにとって良いニュースであり、Mozillaが今後は自社のセキュリティに対してこれまで以上に真剣になることを期待しています。