SCAN DISPATCH : 盗まれたFTP情報が闇取引、SaaSとして提供も | ScanNetSecurity[国内最大級のサイバーセキュリティ専門ポータルサイト]
2017.10.24(火)

SCAN DISPATCH : 盗まれたFTP情報が闇取引、SaaSとして提供も

国際 海外情報

SCAN DISPATCH は、アメリカのセキュリティ業界及ハッカーコミュニティから届いたニュースを、狭く絞り込み、深く掘り下げて掲載します。

──

盗まれたFTPログイン情報が闇取引されていることが明らかにされた。その中には、日本の企業ドメインも含まれている。

2月末、米国カリフォルニア州に本社があるセキュリティ企業のFinjan社が、「Finjan Uncovers More than 8,700 FTP Server Credentials」というタイトルのプレスリリースを流した。これは、Finjan社のMalicious Code Research Center (MCRC) が毎月発表する「Malicious Page of the Month」の2008年2月号に基づいている。MCRCが、全世界8,700のFTPサーバーのログイン情報が売買されていることを発見した、というものだ。Finjan社のCTOであるYuval Ben-Itzhak とのメールでのインタビューの模様を交えてレポートを紹介する。

Finjan社がこのレポートを作成するきっかけとなったのは、「悪意がある」と判断されたURL、meoryprof.info (me-or-you-profit「俺かお前の利益の情報」の意味)が、政府関連URL内部で検知されたことをきっかけとしている。MCRCがさらに調査してみると、この悪意のあるURLは、Neospolitという複数のユーザー(攻撃者)がリモートから使用できるように設定されている Software as a Service(SaaS)であることが判明した。この場合のSoftware as a Serviceとは、攻撃用アプリケーション、攻撃に必要な情報や攻撃対象、アプリケーションの使用権利などをパッケージにして販売するもの。この発見されたURLにも、サービスと共にバックエンドにFTPのログイン情報を売買するアプリケーションが見つかっていた。

NeoSploitは、2007年の初頭に発見され、最近ポピュラーになってきている攻撃用CGIスクリプトで、"grabarz"によってC言語でプログラムされている。ストリート価格は1,500ドルから3,000ドルと言われている。

攻撃者、つまりユーザーは、NeoSploitの自分のアカウントにログインし、用意された8,700の盗難されたFTPのアドレス、ログインIDとパスワードを選んで購入し、そのFTPのアカウントにあるwebpageのindexに自動的にiFrameのタグを挿入するようになっているほか、任意のファイルをそのFTPにアップロードすることもできる。

売買用インターフェイスでは、どの国に存在するFTPか、GoogleのPageRank(tm)で何位になるかなどの情報と照らし合わせて、ログイン情報の価格を決定するようになっていた。インターフェースはロシア語である。

見つかったFTPログイン情報は、Alexa.comによると、トップ100に含まれているドメインが10個ほど、100〜500位にランキングされているドメインが100個ほどあった。Finjan社のCTOである Yuval Ben-Itzhak氏によれば、「どの企業がリストに入っていたかは公開できないが、 製造業、マスコミ、学術関連、IT、政府、金融などあらゆる企業が含まれており、2,300が米国の企業、日本の企業(*.jp)も全部で4ドメイン見つかっている」という。売買用インターフェースは、ユーザー(攻撃者)がURLの国、ランキングなどクリックしながら選んで買えるように設定されている。

一度サービスを購入したユーザー(攻撃者)のアカウントからは、ユーザー(攻撃者)が設定した悪意のあるプログラムにアクセスしている被害者の数、現在までのクライムウエア(犯罪目的のソフトウエア)のダウンロード数、すでにダウンロードされたクライム・ウエアで、きちんと連絡がとれた数、などが一覧できるようになっている他、図のように、リンクをたどると、iFrameの実際のコード、トロイの木馬のプログラムなどがダウンロードできるようになっている。

https://www.netsecurity.ne.jp/images/article/080304_finjan.jpg

昨今、正規のウエブサイトに…


【執筆:米国 笠原利香】
【関連リンク】
Finjan社プレスリリース
http://www.finjan.com/Pressrelease.aspx?id=1868&PressLan=1819&lan=3
──
※ この記事は Scan購読会員向け記事をダイジェスト掲載しました
購読会員登録案内 http://www.ns-research.jp/cgi-bin/ct/p.cgi?w02_ssw
《ScanNetSecurity》

Scan PREMIUM 会員限定記事

もっと見る

Scan PREMIUM 会員限定記事特集をもっと見る

Scan BASIC 会員限定記事

もっと見る

Scan BASIC 会員限定記事特集をもっと見る

[Web小説] サイバー探偵 工藤伸治の事件簿サーガ (シーズン 1~6 第1話)

もっと見る

[Web小説] サイバー探偵 工藤伸治の事件簿サーガ (シーズン 1~6 第1話)特集をもっと見る

カテゴリ別新着記事

国際 カテゴリの人気記事 MONTHLY ランキング

  1. 搾取される底辺サイバー犯罪者、無料配付トロイにはバックドア(The Register)

    搾取される底辺サイバー犯罪者、無料配付トロイにはバックドア(The Register)

  2. WPA2の新たな脆弱性への攻撃KRACK、暗号化技術の根底にある欠陥(The Register)

    WPA2の新たな脆弱性への攻撃KRACK、暗号化技術の根底にある欠陥(The Register)

  3. セキュリティ人材の慢性不足、海外の取り組みは(The Register)

    セキュリティ人材の慢性不足、海外の取り組みは(The Register)

  4. SMSによる二要素認証が招くSOS(The Register)

  5. 「Tor 禁止令」を解く Facebook、暗号化の onion アクセスポイントを宣伝~これからは暗号化通信も完全に OK(The Register)

  6. フィッシング詐欺支援サービスの価格表(The Register)

  7. iCloudからの女優のプライベート画像流出事件、容疑者がフィッシングの罪を大筋で認める

  8. Mac OS X のシングルユーザモードの root アクセス(2)

  9. AWS 設定ミスでウォールストリートジャーナル購読者情報他 220 万件流出(The Register)

  10. 「過激派の」Tails や Tor を使っている? おめでとう、あなたは NSA のリストに載っている~Linux 情報サイトの読者や、プライバシーに関心を持つネット市民が標的にされているとの報告(The Register)

全カテゴリランキング

★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★
<b>★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★</b>

経営課題としてサイバーセキュリティに取り組む情報システム部門や、研究・開発・経営企画に携わる方へ向けた、創刊19年のセキュリティ情報サービス Scan PREMIUM を、貴社の事業リスク低減のためにご活用ください。

×