![ScanNetSecurity[国内最大級のサイバーセキュリティ専門ポータルサイト]](/base/images/header-logo.png){kind=logo}
海外における個人情報流出事件とその対応 第187回 警戒が必要 金融機関Webサイトのハイジャック (1)リダイレクト先に要注意
オンライン支払いサービスのCheckFreeが、ハッカーの攻撃により、最低でも2件のドメインの制御ができなくなったと、12月3日に『The Register』が伝えた。サイトにアクセスしようとした利用者を、犯罪グループが運営しているサーバへ送ってしまっているというものだ。
国際
海外情報
CheckFreeはオンラインでの公共料金などの請求書、各種保険、住宅ローン支払いやインターネットバンキングなど、電子サービスの電子取引を扱う世界の大手企業だ。創業は1981年で、現在の利用者数は数千万人にのぼる。2007年12月にNASDAQに上場されているFiservが買収した。
リダイレクトの事態がわかったのは、『The Register』の読者、リチャードDからの連絡によるもので、使用しているMycheckfree.comのアカウントにログインしようとすると、偽のSSL証明書を受け取ったというものだ。
リダイレクトが自分のPCだけの問題か確認するため、リチャードDは別の場所のサーバを使用したが、やはり別のサイトへマッピングされていた。また、マッピング先は91.203.92.63であったことを確認している。
『The Register』によると、91.203.92.63は長期にわたり、オンライン犯罪を行うために使用されているらしい。このIPアドレスでは、ボットネットを運営したり、サイトにアクセスするとマルウェアをダウンロードする"ドライブ・バイ・ダウンロード"を行っている。
他にも、オンラインで口座から支払いを行おうとして、"無効のセキュリティ証明書だ"とのエラーメッセージを受けたユーザが、やはり91.203.92.63のアドレスにリダイレクトされていることを確認している。米国の金融機関のWebサイトで支払いを行おうとしているのに、91.203.92.63はウクライナでホスティングされているとして不審に思ったものだ。
●被害を最小限に抑えた早急な対処
e-mailでの問い合わせに対し、「攻撃が行われている間にサイトにアクセスしたユーザは、空白のページにリダイレクトされた。そして、そこでマルウェアをダウンロードしようとした」とCheckFreeのスポークスパーソン、メラニー M. トリーは説明している。事態がわかったのは12月2日の早朝だったらしい。
CheckFreeでは、東部標準時間の午前5時にはリダイレクトの状況を修正。さらに午前10時にはISPがこのリダイレクト先のサイトへの接続を遮断した。これで利用者はリダイレクト先に送られる危険は全くなくなったことになった。数時間以内に迅速に問題を修正することはできたようだし、事件が起こったのは東部時間の早朝であったことから、全米での被害は小さかったと見てよいだろう。
e-mailでの問い合わせに対する回答は、事件から3日後の、12月5日に受信した。その中で、トリーは、CheckFreeのWebサイトが正常に、またセキュアに稼動しているとして、システムは完全に回復していることを明らかにしている。事件を受けて、『The Register』などが、詳細について尋ねているが、現在も、専門家が分析中として、明らかにされなかったようだ。
利用者の被害については、「セキュリティソフトの更新状況や使用しているブラウザによる」とトリーは説明している。最新のセキュリティソフトを使用しているユーザなら、マルウェアをダウンロードしているとの警告が表示、"検疫"も行ったはずだ。一方、ウィルスソフトが更新されていなかった場合は、マルウェアがインストールされた可能性がある。
また、CheckFreeでは、積極的なアウトリーチ計画を採用して、被害を受けたユーザのPCを調べ、なんらかのマルウェアに感染している場合は、駆除するために手を差し伸べている。さらにスタッフが、ハイジャックされている間にサイトにアクセスしたと思われるユーザに連絡して警告を行い、被害を受けたユーザには無料のMcAfeeのウィルス対策ソフトと、個人情報盗難向け信用監視サービスを提供している。
事件に関するCheckFreeからの回答は概要だけで、攻撃方法などの詳細については触れていない。ただし、『Washington Post』のブライアン・クレブズがブログで書いており、その中で、トレンドマイクロ社のセキュリティ研究員、ポールファーガソンからの、「マルウェアは新しいタイプのユーザ名やパスワードを盗むトロイの木馬であった」とのコメントを紹介している。
McAfeeのウィルス対策ソフトが提供されたというから、感染の可能性が分かっているユーザについては、面倒であっても対応措置さえ採っていれば、被害は最小限と期待できるだろう。キーロガータイプのトロイの木馬は、感染に気付かず、ユーザがインターネットバンキングなどを利用すると、大切なログイン情報が盗まれ、さらにはその金融機関の口座から不正に引き出しなどが行われる可能性があるため危険だ。
●ドメイン登録会社からの攻撃
事件の原因についてだが、クレブズは、CheckFreeのWebホスティングをしているNetwork Solutionsのシステムから、アカウント情報の変更を行うために必要なユーザ名とパスワードが盗まれたことによると書いている。Network Solutionsは、Webホスティング、Webサイトデザイン、eコマースのほか、ドメイン名登録を行っていて、CheckFreeもサービスを利用している。
クレブズは12月3日、Network Soluionsのスポークスパーソン、スーザン・ウェイドから、何者かが12月2日深夜0時30分ごろに、システムでCheckFreeのDNSサーバのアドレスを変更。その結果、CheckFreeのWebサイトにアクセスしたユーザは、ウクライナのアドレスにリダイレクトされることになったことを確認している。ただし、ハッキングなどの手段によってサーバに侵入したのではないことを強調していることから、犯人はCheckFreeのアカウント管理のための情報を何らかの方法で取得していたと予測している。
クレブズはさらに12月6日、事件の続報をまとめている。情報が漏えいしたのは、CheckFreeの従業員のPCが…
【執筆:バンクーバー新報 西川桂子】
──
※ この記事は Scan購読会員向け記事をダイジェスト掲載しました
購読会員登録案内
http://www.ns-research.jp/cgi-bin/ct/p.cgi?m-sc_netsec
Scan PREMIUM 会員限定記事
もっと見る-
おしらせプレゼントのおしらせ( 一田 和樹 著「原発サイバートラップ」著者 及 辻伸弘氏サイン入り)
編集部蔵出しの一品として、「サイバーミステリ作家 一田 和樹 vs. セキュリティダークナイト 辻 伸弘の対談取材」を行った際に、一田先生と辻氏両名のサイン入りの「原発サイバートラップ」(単行本) も抽選で 1 名様にプレゼントいたします。
-
朝日新聞のサイバー事件報道姿勢 - 記者が語る「伊勢志摩サミット」「ポケドラ」「SkySEA Client View」
彼らの調査報道は、関係者や当事者への取材から得た情報だけでなく、ときには自ら積極的に情報をとっていくスタイルのように見える。
-
サイバー諜報の参入障壁低下、ある国家支援アクターが採った「地産地消」戦略とは(The Register)
新たに発見されたスパイグループは、テーラーメードの攻撃ツール利用を避け、代わりにパッチの適用されていないシステムを狙って、ネットに公開されている、ありふれたエクスプロイトツールを使用している。
-
Laravel においてヘッダ情報のアンシリアライズ処理の不備を悪用して遠隔から任意のコードが実行可能となる脆弱性(Scan Tech Report)
PHP の開発フレームワークである Laravel に、遠隔から任意のコードが実行可能となる脆弱性が公開されています。
カテゴリ別新着記事
脆弱性と脅威 記事一覧へ
盗んだクレジットカード情報で旅行手配「不正トラベル」に注意喚起(JC3)
オムロン「CX-Supervisor」に複数の脆弱性(JVN)
Oracleが複数製品のクリティカルアップデート、使用の確認も重要(JPCERT/CC、IPA)
「FileZen」にリモートからOSコマンドを実行される脆弱性(JVN)
特定のメッセージでPS4が動作不能に陥るグリッチを確認
「OpenAM(オープンソース版)」にパスワードを変更される脆弱性(JVN)
インシデント・事故 記事一覧へ
万博誘致推進室、画像データ残存可能性のあるデジタルカメラ紛失(大阪府)
調査員が個人情報の含まれる「平成30年住宅・土地統計調査」の書類の一部を紛失(つくば市)
シネマイレージカード会員情報を記載した書類を紛失(TOHOシネマズ)
『=LOVE デビュー1 周年記念プレミアムイベント』でのCD即売会の予約票を紛失(ローソンエンタテインメント)
SEOプラットフォーム「MIERUCA」の一部サーバに不正アクセス(Faber Company)
外部からの不正アクセスでメールアドレスとパスワードが流出(メジカルビュー社)
調査・レポート・白書 記事一覧へ
WannaCryなどで使用されたポート445へのパケットが増加--定点観測レポート(JPCERT/CC)
根拠なき安心へ突きつける不吉な答え - 書評「原発サイバートラップ」
インシデント報告件数、「フィッシングサイト」が「スキャン」を上回る(JPCERT/CC)
一部手法を見直した「制御システムのセキュリティリスク分析ガイド」第2版(IPA)
狙われるテクノロジー業界、国家関与の犯罪集団も活発(CrowdStrike)
「SYNフラッド」が大幅減少、帯域幅枯渇を狙うDDoS攻撃が増加(CDNetworks)
研修・セミナー・カンファレンス 記事一覧へ
朝日新聞のサイバー事件報道姿勢 - 記者が語る「伊勢志摩サミット」「ポケドラ」「SkySEA Client View」
![一人CSIRT 一人情シス、最強の製品・外注先選び [Internet Week 2018] 画像](/imgs/std_m/25541.jpg)
一人CSIRT 一人情シス、最強の製品・外注先選び [Internet Week 2018]
今年の課題はサイバー攻撃の被害調査、専門学校・高専生対象セキュリティコンテスト(MBSD)
セキュリティカンファレンス「2018 MPOWER Cybersecurity Summit」開催(マカフィー)
【サイバーセキュリティ・ミステリー】 「セキュリティ体制を整えれば整えるほどセキュリティ事故は多発」 学術研究結果 近日公表
![[鋭意準備中] 今年もあの方に Black Hat USA 2018 の見どころを聞きました 画像](/imgs/std_m/25020.jpg)
![[4月1日配信記事] サイバーセキュリティ専門誌 ScanNetSecurity が創刊 20 周年記念し物理セキュリティジャンルに進出、自宅警備に特化した姉妹誌を4月1日新創刊 画像](/imgs/std_m/24158.jpg)
![[配信予告] 情報漏えい事故後の謝罪記者会見ワークショップを取材しました 画像](/imgs/std_m/22971.jpg)
10月末迄。現在通常料金半額以下!!">