Kasperskyは侵入を否定 |
セキュリティ対策ベンダーのWebサイトを次々と狙ったハッキング行為が話題となっている。事の発端は2月7日(米国時間)に明らかになったアンチウイルスベンダーの露Kasperskyの米国向けサイト「usa.kaspersky.com」への攻撃で、攻撃に成功したと報告するHackerBlogでは、同サイトの顧客データベースのテーブル名の一覧をサンプルとして掲載している。さらに同ブログでは9日、今度はルーマニアのセキュリティ対策ベンダーBitDefenderのポルトガル向けサイト「bitdefender.pt」への侵入に成功したと報告した。だが実際にシステム侵入に成功したかについては現時点で不明な点がある。Kasperskyでは9日、何者かがアクセスに挑戦した形跡はあるものの侵入には失敗しており、データの抽出に成功したというのは嘘だと公式声明を発表している。
HackerBlogで報告されているサイトへの侵入には、SQLインジェクション攻撃が用いられている。同件を早期にレポートしたThe Registerの検証によれば、専門家の意見として侵入に成功した可能性が高いという。前述のようにKasperskyでは情報漏洩は発生していないと説明する一方で、同サイトの一部セクションに脆弱性を発見し、すぐに対策を施したと報告している。同件については現在もKaspersky側で調査中で、今後何らかのアクションがあるかもしれない。