オンラインメディアのUnicorn Riotが、Mossack FonsecaのDrupalを詳細に検証した。それによると、同事務所のDrupalには、顧客が自社文書を閲覧するための「ポートフォリオ」として機能するモジュールが用意されていた。また、既定のMySQLではなくOracleをバックエンドのデータベースとして使用する「Oracle」モジュールも用意されていた。
- TechRepublic Japanオススメ記事
- アンチウイルスソフトは死んだのか--セキュリティベンダー座談会(1)
- 重要なのは侵入された後の対応--セキュリティベンダー座談会(2)
- CSIRT/SOCだけでは意味がない--セキュリティベンダー座談会(3)
さらに、Mossack Fonsecaが運用していた旧バージョンのDrupal自体が、同プロジェクト史上最悪の脆弱性を抱えており、匿名のユーザーによる権限昇格や、任意のPHPコード実行が可能な状態だった。Unicorn Riotは、脆弱性を悪用した攻撃者に不正アクセスされた「ポートフォリオ」モジュールのデータこそが、パナマ文書の正体ではないかと推測している。
パナマ文書の流出後、Drupalのセキュリティ強化を目的とした対策が幾つか実施されたが、前述した脆弱性の一部は未対策のままだ。ディレクトリの閲覧機能は無効化されたが、エラーページは未だにJoomlaではなくOracleから発行されている。それによると、Oracle Serverのバージョンはセキュリティが極めて脆弱な2.2.15である。
Microsoft Exchange/Outlook Web Access(2009年リリース)
Mossack Fonsecaは、メールの運用に「Microsoft Exchange」と、そのコンポーネントである「Outlook Web Access(OWA)」を利用している。同事務所のログイン用ポータルにアクセスすると、コピーライトの日付が2009年となっている。これほど古いバージョンであれば、セキュリティに問題があると考えるのが自然だろう。好意的に解釈した場合、もしも運用しているバージョンが「Exchange Server 2007」であれば、まだ延長サポートの終了まで1年の猶予がある。しかし、数々の基幹システムのセキュリティアップデートを蔑ろにしていたMossack Fonsecaが、Exchange Serverにだけアップデートを適用していたとは考えにくい。Exchange ServerとOWAには複数の脆弱性が確認されており、その多くは2015年に発見されたものである。
延長サポートの終了まで1年の猶予があるとはいえ、本来であれば老朽化したソフトウェアをインフラストラクチャから排除するために、新バージョンへの移行作業がとっくに開始されていて然るべき状況だ。シアトルのITアナリスト、Marcus Eaton氏は次のように述べている。「重要なのはシステムを導入することではなく、そのシステムのメンテナンスとアップデートを怠らずに継続することだ。Mossack Fonsecaは、この鉄則を蔑ろにした場合に何が起きるのか、これ以上ないほど見事に証明してくれた。たとえば自動車であれば、日常の保守点検が不可欠であり、その耐用年数にも限りがある。企業の本番環境で運用されているソフトウェアも、それと同じ視点で捉えるべきだ」
この記事は海外CBS Interactive発の記事を朝日インタラクティブが日本向けに編集したものです。