Facebook

fossBytesに1月18日(米国時間)に掲載された記事「How This Hacker Broke Facebook With ImageMagick Flaw And Won $40k Reward」が、オープンソースの画像処理ツール「ImageMagick」の脆弱性を悪用してFacebookのサーバを攻撃する方法が存在していたと伝えた。このバグはすでに報告されており、バグを報告したユーザーには4万米ドルのバグ報告報奨金が支払われたとされている。

ImageMagickの脆弱性は2016年4月に発見されたもの。どのような脆弱性を悪用して攻撃が可能だったのかについては、バグを報告した発見者のブログ「FACEBOOK’S IMAGETRAGICK STORY」にまとまっている。ImageMagickは多くのユーザーや組織で使われており、この脆弱性は広範囲に影響を与えたと考えられている。

オープンソース・ソフトウェアは入手が簡単で利用しやすいことからさまざまなシーンで活用されている。反面、特に広く使われているオープンソース・ソフトウェアに脆弱性が発見されると、そのの影響が広範囲に及びやすいという面も持っている。さらに、それがライブラリのようにソフトウェアの中で使われるようなタイプのものである場合、利用者が脆弱性の存在しているソフトウェアを使っていることに気がつくことが難しく、問題の発見が遅れやすい。