海外における個人情報流出事件とその対応 第192回 セキュリティ企業のWebサイトも安全性強化が必要か? (2)セキュリティベンダーも当惑 | ScanNetSecurity[国内最大級のサイバーセキュリティ専門ポータルサイト]
2017.11.22(水)

海外における個人情報流出事件とその対応 第192回 セキュリティ企業のWebサイトも安全性強化が必要か? (2)セキュリティベンダーも当惑

国際 海外情報

●攻撃を受けるセキュリティベンダー

 カスペルスキーを攻撃したというルーマニアのハッカーは、さらにセキュリティ企業BitDefenderのポルトガルのWebサイトへのアクセスに成功したとブログで発表している。BitDefenderはルーマニア最大のソフトウェア会社、SOFTWINを作ったFlorin Talpesが、2001年に創設したセキュリティソフトの会社で、またソフトウェア名でもある。

 ハッカーの書き込みとは異なり、BitDefenderの発表では、同社Webサイトは影響を受けていないと言う。『SC MAGAZINE』の記事によると、BitDefenderのスポークスパーソンは「パートナーのサイトが漏えいして、このようなことが二度と起こらないようにパートナーの助けになることができるように、正確に何が起こったのか調べている」と話しているようだ。

さらに、BidDefenderのプレスリリースでは、
・脆弱性はBitDefenderのブログ監視活動で見つかった
・BitDefenderでは直ちにパートナーに通知。サイトはすぐに閉鎖された・パートナーと協力して脆弱性を訂正。サイトを2月9日に再開した
・現在までの調査では顧客データの盗難はなかったと見られる
・攻撃は情報盗難を意図したものではなく、脆弱性を示すだけのために行われていたようだ
・BitDefenderでは顧客のクレジットカード情報をサイトには保管していない。これは顧客のプライバシーを守り、この種の情報が攻撃によってアクセスできないようにするためだ
・最近、SQLインジェクションやクロスサイトスクリプトのような、Webサイトの脆弱性攻撃が多い。BitDefenderが所有する全てのサイトは、定期的に防護処理を行っていて、この種の攻撃への脆弱性を限られたものとしている。パートナーがそのサイトを運営する方法については、BitDefenderでは管理できないものの、防御の成功事例促進のため、協力していく
・今回の攻撃の結果、BitDefenderではパートナーと協力して、Web防御の戦略を再評価。必要な場合はこの種の攻撃を避けるための是正措置を取り、パートナーが適切なWebサイトの防御に必要なサポートとリゾースを持つことができるようにした
とある。パートナーの名前を問い合わせたが、現在のところ回答はない。しかし、BitDefenderのパートナーのWebサイトに脆弱性があったことは確かだ。

●フィンランドのセキュリティ企業も被害

 続いて、やはりhackersblog.orgのブログで、フィンランドのセキュリティ企業F-Secureへの攻撃を行ったと発表があった。ルーマニア人のハッカーが詳細を述べている攻撃は、SQLインジェクションによるもので、コーディングエラーをつくものだったという。また、WebサイトはSQLインジェクションとクロスサイトスクリプトの両方の攻撃に脆弱だった。ハッカーはSQLサーバの情報とデータベースのテーブル名をポスティングしている。

 F-Secure側ではプレスリリースは出していないものの、セキュリティブログで、11日早朝にSQLインジェクションに遭ったことを発表している。また、『SearchSecurity.com』が、F-Secureの北米テクノロジーサービスを担当するデビッド・フレーザー部長に、漏えいが11日にあったことを確認している。

 事件が発生したのは、「マルウェア統計を集めるために使用しているサーバの1つが、攻撃に脆弱な状態だった」ためだ。ただし、漏えいしたのは、重要度の低いウイルスの統計情報で、既に"F-Secure Worldmap"で一般に公表しているものだったらしい。これについては、攻撃を行ったHackerBlogのWeb管理者の1人であるTocsixuも「重要なデータの漏えいではない」と確認している。

 そして、F-Secureでは"徹底的に防御を行うという戦略"を適用しているため、"攻撃は一部成功しただけだった"と言う。データベースの情報を読むことはできたが、書き込みやコントロールはできなかった。また、SQLのユーザはそのデータベースにしかアクセスできなかったために、他のデータへのアクセスも許していない。

 しかし、それでもセキュリティベンダであることから、このような事件が発生したことについて、フレーザー部長は「かなり当惑している」とのコメントを行っている。また、ブログの書き込みを行った、F-Secureのパトリックは、攻撃により、何を改善する必要があるか学ぶことができたと述べている。HackerBlogでは、2月18日に、今度はNorton Resource Centre のドキュメントダウンロードセンターでセキュアでないパラメーターを発見したと発表している。

 今回、連続しているセキュリティ企業への攻撃だが、昨年も起こっている。その際、被害に遭ったのはトレンドマイクロ社だ。日本語と英語のWebページ、数ページが改ざんされた。プレスリリースで、「弊社Webサイトにおいてウイルス情報を提供しているWebページの一部が3月9日21時頃に改ざんされ、3月12日11時30分からウイルス情報ページを閉鎖・対策を施しました」としている。

 この事件では、情報漏えいではなく、「上記期間に当該ページにアクセスした場合、悪意のあるサイトに誘導され、ウイルスに感染する恐れがございました」というよううに、サイトにウイルスをダウンロードさせようとするコードが埋め込まれていた。

 そして、攻撃方法は、「Webアプリケーション上の脆弱性をSQLインジェクションという手法により悪用されたものと分析しています」と、他のセキュリティベンダと同じだ。

●セキュリティ会社が取った対策

 さて、セキュリティ企業だが、事件後、どのような対策を…

【執筆:バンクーバー新報 西川桂子】
──
※ この記事は Scan購読会員向け記事をダイジェスト掲載しました
購読会員登録案内
http://www.ns-research.jp/cgi-bin/ct/p.cgi?m-sc_netsec
《ScanNetSecurity》

Scan PREMIUM 会員限定記事

もっと見る

Scan PREMIUM 会員限定記事特集をもっと見る

Scan BASIC 会員限定記事

もっと見る

Scan BASIC 会員限定記事特集をもっと見る

[Web小説] サイバー探偵 工藤伸治の事件簿サーガ (シーズン 1~6 第1話)

もっと見る

[Web小説] サイバー探偵 工藤伸治の事件簿サーガ (シーズン 1~6 第1話)特集をもっと見る

カテゴリ別新着記事

国際 カテゴリの人気記事 MONTHLY ランキング

  1. スバルのキー・フォブに脆弱性あり、オランダ人技術者語る(The Register)

    スバルのキー・フォブに脆弱性あり、オランダ人技術者語る(The Register)

  2. WPA2の新たな脆弱性への攻撃KRACK、暗号化技術の根底にある欠陥(The Register)

    WPA2の新たな脆弱性への攻撃KRACK、暗号化技術の根底にある欠陥(The Register)

  3. インドのレジストリで情報漏えい、インドのネットを壊滅させるデータのビットコイン価格とは(The Register)

    インドのレジストリで情報漏えい、インドのネットを壊滅させるデータのビットコイン価格とは(The Register)

  4. 死亡した男性のメールアカウントを巡るヤフーと裁判所の争い(The Register)

  5. 「Tor 禁止令」を解く Facebook、暗号化の onion アクセスポイントを宣伝~これからは暗号化通信も完全に OK(The Register)

  6. セキュリティ人材の慢性不足、海外の取り組みは(The Register)

  7. SMSによる二要素認証が招くSOS(The Register)

  8. iCloudからの女優のプライベート画像流出事件、容疑者がフィッシングの罪を大筋で認める

  9. AWS 設定ミスでウォールストリートジャーナル購読者情報他 220 万件流出(The Register)

  10. Mac OS X のシングルユーザモードの root アクセス(2)

全カテゴリランキング

★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★
<b>★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★</b>

経営課題としてサイバーセキュリティに取り組む情報システム部門や、研究・開発・経営企画に携わる方へ向けた、創刊19年のセキュリティ情報サービス Scan PREMIUM を、貴社の事業リスク低減のためにご活用ください。

×