カスペルスキーが分析結果を発表。
脆弱性はGoogle検索で見つけられていた。
Kasperskyへの不正アクセス、脆弱なサイト探しにGoogleを利用:Security NEXT
Kaspersky Labの米国向けサイト「usa.kaspersky.com」が、SQLインジェクション攻撃を受けた問題で、同社はNext Generation Security Softwareによる調査結果を公表した。今回の攻撃は当初の発表で6日に行われたと発表されていたが、2月7日早朝に攻撃を受けたという。攻撃はルーマニアのISP経由で攻撃が行われており、Googleを利用してSQLインジェクションが含まれるウェブサイトを検索していた。
攻撃者は顧客データへアクセス可能だったと主張しているが、調査結果により主張が正しいことが判明。しかしログファイルより入手の試みは失敗しており、データへのアクセスはなかった。また脆弱性公表後に攻撃が各地から行われたものの、ウェブサーバが即時停止されていたことから、顧客データへのアクセスは発生しなかった。
同社では今回の不正アクセス事件について深刻な問題に発展する危険があったとして、運営サイトのセキュリティ監査を進めている。また同社製品への影響についてあらためて否定した。
Kaspersky Labs Japan
http://www.kaspersky.co.jp/(Security NEXT - 2009/02/16更新)
Leave a comment