【これはひどい】パナマ文書事件から企業IT部門が学ぶべき最大の教訓---脆弱まみれだと漏れます

パナマ文書の流出から、企業のIT部門が学ぶべき教訓に焦点を当て考察している。

【「Mossack Fonseca」法律事務所のITシステム】
■WordPress 4.1（2014年12月18日リリース）
　・公式ブログは「WordPress 4.1」を使用していたとみられる
　・このバージョンは緊急度の高い脆弱性を数多く抱えていた
■Drupal 7.23（2013年8月8日リリース）
　・クライアント用ポータルを「Drupal 7.23」で運用していた
　・Apache 2.2.15(2010年3月6日リリース)上で稼働
　・さらに、このApacheはOracle版
　・既定でディレクトリ構造を閲覧できる状態
　・すべてのユーザーがファイルのソースをプレーンテキストとして表示できる状態
　・そのファイルが格納されているディレクトリも閲覧できる状態

【パナマ文書の正体とは？】
　・「Mossack Fonseca」が運用していた旧バージョンのDrupal自体が、同プロジェクト史上最悪の脆弱性を抱えていた
　・匿名ユーザーによる権限昇格、任意のPHPコード実行が可能
　・Unicorn Riotは、『脆弱性を悪用した攻撃者に不正アクセスされた「ポートフォリオ」モジュールのデータこそが、パナマ文書の正体ではないか』と推測している


（出所：http://japan.zdnet.com/article/35081262/）