Mozilla Security Blog 日本語版

Mozilla Security Blog を日本語に翻訳(非公式)

【翻訳】Bugzilla のセキュリティ改善

この記事は、2015年9月4日付で Mozilla Security Blog に投稿された Improving Security for Bugzilla(筆者: Richard Barnes)の翻訳です。この翻訳は公式なものではありません。詳しくはこちらをご覧ください。


バグトラッカーの Bugzilla は、Mozilla の公開性を保つというミッションを達成する上で重要な役割を担っています。Bugzilla は多くのコントリビュータ間の調整をとるツールであり、コミュニティ内の交流の中心となっています。Bugzilla における情報のほとんどは公開されていますが、セキュリティに関わる機密情報へのアクセスは制限しているため、このような情報には特定の権限を持ったユーザのみアクセスできます。

何者かがセキュリティに関わる機密情報を Bugzilla から窃取できてしまったことを、私たちが今日こうして公開するのも同じ公開性の精神に基づいています。その盗まれた情報は Firefox ユーザの攻撃に使われたと考えています。この権限のないアクセスについて Mozilla は調査を行い、直近の脅威に対処するためいくつかの対策を講じました。私たちの製品とデベロッパのコミュニティ、そしてユーザとに対するセキュリティを確保するため、私たちは今後も Bugzilla を改善していきます。

Bugzilla の危殆化を Mozilla が発見して間もなく、攻撃者が侵入したアカウントは停止されました。攻撃者は Bugzilla から盗んだ情報を、8月6日にパッチが当てられた脆弱性を攻撃するために用いたと考えられます。その攻撃者の得た他の情報が Firefox ユーザに向けて使われた兆候は何もありません。8月27日にリリースされた Firefox のバージョンでは、攻撃者が知り得ており、かつ Firefox ユーザに被害を与えることが可能だった脆弱性はすべて修正されています。

この手の攻撃によって将来起こり得るリスクを軽減するため、私たちは Bugzilla のセキュリティ対策を更新しています。まず最初のステップとして、セキュリティに関する機密情報へアクセスするすべてのユーザに対し、パスワードの変更と2段階認証の利用を要請しました。特権を持ってアクセスできるユーザの数を減らし、それぞれの特権ユーザが操作できる範囲を制限しています。言い換えれば、攻撃者が侵入するのが難しくなり、もし侵入できる機会がわずかにあったとしても、攻撃者が得られる情報量を減らしています。

公開性、透明性、そして機密性は Mozilla のミッションの中核をなしています。そのため、もはや危険性がないと確認されたセキュリティバグはすぐに公開しており、私たちのインフラに権限のないアクセスがあったこともこのブログ記事に書いています。このインシデントについては関係する司法当局に報告済みであり、今後の調査結果に基づいて随時対応を行っていきます。

詳しくは FAQ document をご覧ください。