編集部からのお知らせ
新型コロナ禍が組み替えるシステム
テレワーク関連記事一覧はこちら
海外コメンタリー

パナマ文書はなぜ流出したのか--企業が学ぶべき最大の教訓 - (page 2)

James Sanders (Special to TechRepublic) 翻訳校正: 編集部

2016-04-18 06:00

 オンラインメディアのUnicorn Riotが、Mossack FonsecaのDrupalを詳細に検証した。それによると、同事務所のDrupalには、顧客が自社文書を閲覧するための「ポートフォリオ」として機能するモジュールが用意されていた。また、既定のMySQLではなくOracleをバックエンドのデータベースとして使用する「Oracle」モジュールも用意されていた。

 さらに、Mossack Fonsecaが運用していた旧バージョンのDrupal自体が、同プロジェクト史上最悪の脆弱性を抱えており、匿名のユーザーによる権限昇格や、任意のPHPコード実行が可能な状態だった。Unicorn Riotは、脆弱性を悪用した攻撃者に不正アクセスされた「ポートフォリオ」モジュールのデータこそが、パナマ文書の正体ではないかと推測している。

 パナマ文書の流出後、Drupalのセキュリティ強化を目的とした対策が幾つか実施されたが、前述した脆弱性の一部は未対策のままだ。ディレクトリの閲覧機能は無効化されたが、エラーページは未だにJoomlaではなくOracleから発行されている。それによると、Oracle Serverのバージョンはセキュリティが極めて脆弱な2.2.15である。

Microsoft Exchange/Outlook Web Access(2009年リリース)

 Mossack Fonsecaは、メールの運用に「Microsoft Exchange」と、そのコンポーネントである「Outlook Web Access(OWA)」を利用している。同事務所のログイン用ポータルにアクセスすると、コピーライトの日付が2009年となっている。これほど古いバージョンであれば、セキュリティに問題があると考えるのが自然だろう。好意的に解釈した場合、もしも運用しているバージョンが「Exchange Server 2007」であれば、まだ延長サポートの終了まで1年の猶予がある。しかし、数々の基幹システムのセキュリティアップデートを蔑ろにしていたMossack Fonsecaが、Exchange Serverにだけアップデートを適用していたとは考えにくい。Exchange ServerとOWAには複数の脆弱性が確認されており、その多くは2015年に発見されたものである。

 延長サポートの終了まで1年の猶予があるとはいえ、本来であれば老朽化したソフトウェアをインフラストラクチャから排除するために、新バージョンへの移行作業がとっくに開始されていて然るべき状況だ。シアトルのITアナリスト、Marcus Eaton氏は次のように述べている。「重要なのはシステムを導入することではなく、そのシステムのメンテナンスとアップデートを怠らずに継続することだ。Mossack Fonsecaは、この鉄則を蔑ろにした場合に何が起きるのか、これ以上ないほど見事に証明してくれた。たとえば自動車であれば、日常の保守点検が不可欠であり、その耐用年数にも限りがある。企業の本番環境で運用されているソフトウェアも、それと同じ視点で捉えるべきだ」

 

この記事は海外CBS Interactive発の記事を朝日インタラクティブが日本向けに編集したものです。

ZDNet Japan 記事を毎朝メールでまとめ読み(登録無料)

特集

CIO

モバイル

セキュリティ

スペシャル

NEWSLETTERS

エンタープライズ・コンピューティングの最前線を配信

ZDNet Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]