Linux「kernel.org」クラッキング事件発生から2年、調査報告書は未発表

By Kenneth Rougeau

今をさかのぼること2年前の2011年9月2日、Linuxカーネルのアーカイブを公開している「kernel.org」のサーバがトロイの木馬の侵入被害にあっていたことが公表されました。Linuxのコードソースを提供するサーバが汚染されたというこの事件ですが、事件発生から2年を経た2013年の段階においてもまだ調査報告書が発表されていない状態になっています。

Who rooted kernel.org servers two years ago, how did it happen, and why? | Ars Technica
http://arstechnica.com/security/2013/09/who-rooted-kernel-org-servers-two-years-ago-how-did-it-happen-and-why/

事件は2011年8月28日、一通のメールと複数の証言から発覚し、9月2日にWebサイト上で公開されました。感染は8月12日以前のどこかの段階で発生しており、16日以上の期間にわたって感染状態が続いていたことが明らかになっています。この攻撃によって、kernel.orgのサーバである「Hera」「Odin1」を含む複数のマシンが感染したことが明らかになっており、kernel.orgでは該当するサーバを停止してすべてクリーンインストールするという事態になりました。

By Torkild Retvedt

その後、サイトは同年10月5日に再オープンして復旧した……というこの事件ですが、いまだに「誰が」「どうやって」「何台のマシンに」進入し「何を行ったのか」は明らかにされていません。

azimuth security社のシニア・セキュリティ・リサーチャーのDan Rosenberg氏は「ユーザーは、事後の対策において透明性が見られないことにちょっと失望しているのではないかと、私はユーザーの一人として思う。詳細が明らかにならない限り、今回の事件の原因にどの程度の過失があったのかを明らかにすることは不可能だと言っていい」と語ります。

Linuxカーネルのデベロッパーであるグレッグ・クロー＝ハートマン氏は「まだ調査は完了しておらず、報告書を発表する予定もまだ立っていない」と語っていますが、同時に「侵入者はソースコードを改ざんできなかったので、Linuxがコンパイルされている何万というシステムに影響はない」とする予備調査報告書の内容には絶対の自信があることも明らかにしています。

システムの変更記録は「Git」と呼ばれるトラッキングシステムによって管理されており、変更が加えられた際には世界中に分散して保管されているログファイルにも記録される仕組みになっています。それにより、もし特定の場所でログ修正が行われていたとしても、それは不正な改ざんであるということが判るようになっています。クロー＝ハートマン氏は「事件の後、kernel.orgのシステムは一から再構築され、新しい各種ツールと手法が導入されている」としながらも詳細についてのコメントは避けました。

By Dan Anderson.

しかし、システムへの裏口「バックドア」や悪質なコードが密かに書き入れられたことを示す証拠も見つかっていないことから、世界有数のソフトウェア開発組織のセキュリティが突破されたこの事件は大きな懸案として影を落としています。国家レベルによる大規模ハッキングや、シリコンチップにサイバー攻撃可能な未知のバックドアが発見されるなど、サイバー時代ならではの事件が世界を席巻する時代だからこそ、透明性を高く持ち、何が行われたかを明らかにすることが必要と言えるのではないでしょうか。

By Martin Eckert