FreeBSD.orgのインフラに不正侵入：パッケージ改ざんの可能性否定できず

[鈴木聖子，＠IT]

　FreeBSD Projectは11月17日、FreeBSD.orgのクラスタを構成するマシンで不正侵入が検知されたと発表した。

　発表によると、不正侵入されたのはFreeBSD.orgのインフラを構成するマシンのうち2台で、2012年9月19日から、問題が発覚する11月11日までの間に発生したとみられる。発覚を受け、不正侵入が確認された2台と、侵入された可能性のあるすべてのマシンをダウンさせて調査を開始した。

　原因は、問題のマシンへのアクセス権を持っていた開発者からSSH鍵が流出したことによると思われ、FreeBSDの脆弱性やコードの悪用に起因するものではないとしている。

　FreeBSDのOSは、コミュニティで管理する「ベース」部分と、サードパーティの「パッケージ」部分で構成されるが、不正侵入されたのは、サードパーティのパッケージ開発に使われるマシンの方だったという。このため、FreeBSDのベースシステムソフトウェアに改ざんなどの被害はなく、FreeBSDのシステムが危険にさらされた個所はないとしている。

　一方で、サードパーティパッケージの方は、改ざんの可能性も考えられるレベルで不正アクセスされていたことが分かった。これまでの調査では改ざんされた形跡は見つかっていないものの、9月19日から11月11日までの間にインストールされたパッケージについては完全性を保証できないとして、信頼できるソースを使ってマシンを最初から再構築することを推奨している。

　さらに、既に非推奨となっているcvsup/csupディストリビューション方式の利用をただちに中止すること、FreeBSD.orgが提供するバイナリパッケージを使っているシステムの監査を実施することなどを奨励している。