海外における個人情報流出事件とその対応 第187回 警戒が必要 金融機関Webサイトのハイジャック (1)リダイレクト先に要注意
オンライン支払いサービスのCheckFreeが、ハッカーの攻撃により、最低でも2件のドメインの制御ができなくなったと、12月3日に『The Register』が伝えた。サイトにアクセスしようとした利用者を、犯罪グループが運営しているサーバへ送ってしまっているというものだ。
国際
海外情報
CheckFreeはオンラインでの公共料金などの請求書、各種保険、住宅ローン支払いやインターネットバンキングなど、電子サービスの電子取引を扱う世界の大手企業だ。創業は1981年で、現在の利用者数は数千万人にのぼる。2007年12月にNASDAQに上場されているFiservが買収した。
リダイレクトの事態がわかったのは、『The Register』の読者、リチャードDからの連絡によるもので、使用しているMycheckfree.comのアカウントにログインしようとすると、偽のSSL証明書を受け取ったというものだ。
リダイレクトが自分のPCだけの問題か確認するため、リチャードDは別の場所のサーバを使用したが、やはり別のサイトへマッピングされていた。また、マッピング先は91.203.92.63であったことを確認している。
『The Register』によると、91.203.92.63は長期にわたり、オンライン犯罪を行うために使用されているらしい。このIPアドレスでは、ボットネットを運営したり、サイトにアクセスするとマルウェアをダウンロードする"ドライブ・バイ・ダウンロード"を行っている。
他にも、オンラインで口座から支払いを行おうとして、"無効のセキュリティ証明書だ"とのエラーメッセージを受けたユーザが、やはり91.203.92.63のアドレスにリダイレクトされていることを確認している。米国の金融機関のWebサイトで支払いを行おうとしているのに、91.203.92.63はウクライナでホスティングされているとして不審に思ったものだ。
●被害を最小限に抑えた早急な対処
e-mailでの問い合わせに対し、「攻撃が行われている間にサイトにアクセスしたユーザは、空白のページにリダイレクトされた。そして、そこでマルウェアをダウンロードしようとした」とCheckFreeのスポークスパーソン、メラニー M. トリーは説明している。事態がわかったのは12月2日の早朝だったらしい。
CheckFreeでは、東部標準時間の午前5時にはリダイレクトの状況を修正。さらに午前10時にはISPがこのリダイレクト先のサイトへの接続を遮断した。これで利用者はリダイレクト先に送られる危険は全くなくなったことになった。数時間以内に迅速に問題を修正することはできたようだし、事件が起こったのは東部時間の早朝であったことから、全米での被害は小さかったと見てよいだろう。
e-mailでの問い合わせに対する回答は、事件から3日後の、12月5日に受信した。その中で、トリーは、CheckFreeのWebサイトが正常に、またセキュアに稼動しているとして、システムは完全に回復していることを明らかにしている。事件を受けて、『The Register』などが、詳細について尋ねているが、現在も、専門家が分析中として、明らかにされなかったようだ。
利用者の被害については、「セキュリティソフトの更新状況や使用しているブラウザによる」とトリーは説明している。最新のセキュリティソフトを使用しているユーザなら、マルウェアをダウンロードしているとの警告が表示、"検疫"も行ったはずだ。一方、ウィルスソフトが更新されていなかった場合は、マルウェアがインストールされた可能性がある。
また、CheckFreeでは、積極的なアウトリーチ計画を採用して、被害を受けたユーザのPCを調べ、なんらかのマルウェアに感染している場合は、駆除するために手を差し伸べている。さらにスタッフが、ハイジャックされている間にサイトにアクセスしたと思われるユーザに連絡して警告を行い、被害を受けたユーザには無料のMcAfeeのウィルス対策ソフトと、個人情報盗難向け信用監視サービスを提供している。
事件に関するCheckFreeからの回答は概要だけで、攻撃方法などの詳細については触れていない。ただし、『Washington Post』のブライアン・クレブズがブログで書いており、その中で、トレンドマイクロ社のセキュリティ研究員、ポールファーガソンからの、「マルウェアは新しいタイプのユーザ名やパスワードを盗むトロイの木馬であった」とのコメントを紹介している。
McAfeeのウィルス対策ソフトが提供されたというから、感染の可能性が分かっているユーザについては、面倒であっても対応措置さえ採っていれば、被害は最小限と期待できるだろう。キーロガータイプのトロイの木馬は、感染に気付かず、ユーザがインターネットバンキングなどを利用すると、大切なログイン情報が盗まれ、さらにはその金融機関の口座から不正に引き出しなどが行われる可能性があるため危険だ。
●ドメイン登録会社からの攻撃
事件の原因についてだが、クレブズは、CheckFreeのWebホスティングをしているNetwork Solutionsのシステムから、アカウント情報の変更を行うために必要なユーザ名とパスワードが盗まれたことによると書いている。Network Solutionsは、Webホスティング、Webサイトデザイン、eコマースのほか、ドメイン名登録を行っていて、CheckFreeもサービスを利用している。
クレブズは12月3日、Network Soluionsのスポークスパーソン、スーザン・ウェイドから、何者かが12月2日深夜0時30分ごろに、システムでCheckFreeのDNSサーバのアドレスを変更。その結果、CheckFreeのWebサイトにアクセスしたユーザは、ウクライナのアドレスにリダイレクトされることになったことを確認している。ただし、ハッキングなどの手段によってサーバに侵入したのではないことを強調していることから、犯人はCheckFreeのアカウント管理のための情報を何らかの方法で取得していたと予測している。
クレブズはさらに12月6日、事件の続報をまとめている。情報が漏えいしたのは、CheckFreeの従業員のPCが…
【執筆:バンクーバー新報 西川桂子】
──
※ この記事は Scan購読会員向け記事をダイジェスト掲載しました
購読会員登録案内
http://www.ns-research.jp/cgi-bin/ct/p.cgi?m-sc_netsec
Scan PREMIUM 会員限定記事
もっと見る-
脆弱性と脅威Microsoft Windows において SilentCleanup タスクの DLL Hijack により UAC による制限が回避可能となる手法(Scan Tech Report)
Microsoft Windows OS において、ユーザアカウント制御 (UAC) による制限を回避することが可能となる新たな手法が公開されています。
-
ここが変だよ日本のセキュリティ 第43回 「パスワード管理は続くよ、どこまでも(パスつづ)」(後編)
後編では、これからも長い付き合いになりそうなパスワードの、不都合な真実って奴に突っ込んで、真実を暴きます。そしてもちろん言いっぱなしにはしません。何が何故、残念で、どうすればいいかを説明します。
-
FreeBSD の IPv6 ソケットにおける競合状態と Use-After-Free の脆弱性(Scan Tech Report)
2020 年 7 月に、UNIX 系 OS である FreeBSD に、管理者権限の奪取が可能となる脆弱性が報告されています。
-
GitLabがユーザーのソースコードを調査、予想どおり見つかった脆弱性の傾向と内訳とは
マイクロソフトのGitホスティングサービス「GitHub」の競合サービスである「GitLab」が顧客のホストするソフトウェアプロジェクトのセキュリティについて2回目のテストを実施、そして不備を発見した。
カテゴリ別新着記事
脆弱性と脅威 記事一覧へ
Macrium Software製Macrium Reflectに権限昇格の脆弱性
Microsoft Windows において SilentCleanup タスクの DLL Hijack により UAC による制限が回避可能となる手法(Scan Tech Report)
「Emotet」への感染を目的としたメールは日本の営業時間帯に合わせて送信
Chocolateyが提供するBoxstarterにDLL読み込みに関する脆弱性
WordPress用プラグインSimple Download MonitorにXSS、SQLインジェクションの脆弱性
ダイソンなどを騙った複数の偽サイトに注意喚起
インシデント・事故 記事一覧へ
メールアカウントに不正アクセス、スパムメール送信の踏み台に
web本棚「ブクログ」ソースコード上に利用者のメールアドレス表示
自社ではなく協力企業が「Emotet」感染、大多喜ガス装うなりすましメール確認
GMOクリック証券で不正な149万円の出金確認、二段階認証実装予定
「Emotet」感染、「ひらまつオンライン」お食事券申込者メール情報流出
逆BCC誤送信:BCCに930名のアドレスが入った過去メールをテンプレ使用
調査・レポート・白書 記事一覧へ
フィッシングはサイバー攻撃の支配的地位保つ「RSA Quarterly Fraud Report 2020 2Q」
「Macはもっとも安全なデバイス」とIT担当者の77%が回答
61%「未適用パッチ有」と回答、企業の脆弱性管理に関する実態調査
「Microsoft Digital Defense Report」が提唱する5つのアクション
ブロードバンドセキュリティが実施した脆弱性管理の500名調査の結果、見えてきた課題
「Emotet」関連相談が大幅増 ~ IPAの情報セキュリティ安心相談窓口
研修・セミナー・カンファレンス 記事一覧へ
メッセージングセキュリティ現場最前線、JPAAWG 3rd General Meeting が11月11日・12日オンライン開催
今年は完全無償・完全オンライン、CODE BLUE 2020 明日から開催
イエラエセキュリティ取締役とエンジニアが「セキュリティ・ミニキャンプ」に登壇
eスキミング:その手口と対策
DX時代の企業のプライバシーガバナンス、CEATEC 2020 ONLINEの経産省講演
