米国連邦捜査局(FBI: Federal Bureau of Investigation)は11月13日(現地時間)、「FBI Statement on Incident Involving Fake Emails — FBI」に、管理するサーバが悪意のある第三者に侵害され、「ic.fbi.gov」ドメインから外部に向けて不正な電子メールが一斉送信される事件が起きたという声明を発表した。侵害を受けたのは「Law Enforcement Enterprise Portal(LEEP)」と呼ばれるプラットフォームで、FBIが管理するデータや個人情報が漏洩する被害はなかったという。
-
FBI Statement on Incident Involving Fake Emails
LEEPのWebサイトでは、「LEEPは法執行機関、諜報機関、および刑事司法機関のための安全なプラットフォームです」と説明されており、仮想コマンドセンターやアクティブシューター、地域情報共有システムネットワーク、インターネット犯罪苦情センターなどのサービスが提供されている。FBIによると、侵害を許した原因はLEEPの設定ミスで、Webサイトからワンタイム認証コードが漏洩する可能性がある欠陥を抱えていたという。攻撃者はこの欠陥を悪用してブラウザに送信されたリクエストを編集し、メッセージの件名を書き換えて送信したとのことだ。
FBIでは、侵害を受けたサーバは通知をプッシュすることのみを目的としたもので、FBIの電子メールシステムとは独立しており、FBIのネットワーク上のデータや個人の特定につながる情報にアクセスすることはできないと説明している。11月14日時点でソフトウェアの脆弱性はすでに修正されており、ネットワークの整合性した上で、パートナー向けには偽の電子メールを無視するよう警告したという。
