海外における個人情報流出事件とその対応 第208回 給与支払サービス大手でデータ漏えいか? (1)脆弱性を利用しマルウェアを配布 | ScanNetSecurity[国内最大級のサイバーセキュリティ専門ポータルサイト]
2017.10.23(月)

海外における個人情報流出事件とその対応 第208回 給与支払サービス大手でデータ漏えいか? (1)脆弱性を利用しマルウェアを配布

国際 海外情報

 9月下旬に、米国の会社PayChoiceでシステムがサイバー犯罪者の侵入を受けた。最初にブログで取り上げたのは、Unixwiz.netのSteve Friedlだ。Steve Friedlはカリフォルニアに住むソフトウェアとネットワークセキュリティのコンサルタントだ。その後、Friedlが書いた内容を、9月30日付の『Washington Post』のセキュリティブログ、Security FixでBrian Krebsが取り上げたことで、セキュリティ関連のメディアが注目する事件となった。

 PayChoiceはニュージャージー州にある、給与処理サービスの会社で、この分野では米国最大手の1社だ。世界的なレベルの給与支払いスイートおよび雇用者のサービスのためのツールを用意している。PayChoiceの製品を使うことで、給与支払いや、記録、税金の申告などの"面倒"から開放されるというもので、240社の給与支払い会社に対して、給与支払い管理製品をライセンス供与している。また、この240社はさらに12万5,000社にサービスを提供している。

 Krebsは、9月23日、多数のPayChoices顧客が、PayChoiceのオンライン給与支払いサービスポータルonlineemployer.comから、サービスに続けてアクセスするためには、Webブラウザプラグインをダウンロードする必要があるとのe-mailを受信したと書いている。Friedlによると、偽のメールで、不正や詐欺、スパムメールなどを避けるために、特別なインターネットブラウザのプラグインをダウンロードすることを求めていたというものだ。

 e-mailでは、プラグインなしでは、メールが送信された5日後にあたる28日からはサイトにアクセスができなくなるとの警告も行われていた。時間を区切ることで、受信者は至急ダウンロードしなければならないという心理的圧力を受け、攻撃の効果は高くなると言えるだろう。しかし、e-mailはPayChoiceから実際に送付されたのではなく、プラグインは被害者のユーザ名やパスワードを盗み出そうとするものだった。、また、PayChoiceでは、影響を受けているのは、Online Employerを使っている顧客のみで、電話やファクスをはじめとする、Web以外のインプット方法を用いている顧客については無事だとしている。

 また、『NetworkWorld』の記事では、顧客の従業員情報への権限のないアクセスがあったという痕跡はないとしている。しかし、顧客に対して、従業員に銀行口座やクレジットカードの使用明細に注意しておき、異常があれば警察に届けるようにアドバイスすることを勧めている。

●メールに顧客ユーザ名とパスワードが表示

 Friedlは、e-mailの英語はあまり良い出来ではないとコメントして、英語圏以外から送信されていたことをほのめかしている。また、Friedlがポスティングしたe-mailのサンプルによると、送信者はOnline Employer Update Center、件名はOnline Employer ブラウザプラグインとなっている。Online EmployerはPayChoiceがライセンス供与をしているソフトウェアだ。

 Krebsは、「通常、フィッシング詐欺だと、無差別に多数の受信者に対してメールを送付する」が、「この攻撃ではPayChoicwの顧客の名前がメッセージの本文で使用されている」と指摘している。フィッシング詐欺の場合、犯罪者は金融機関などになりすまして、メールの受信者の一部が、その金融機関を利用しているという前提の下にメールを送付するというものだ。自分が使っている金融機関からの連絡だと誤解して、大量に送ったメールの受信者の何割かが、メールの指示にしたがい、マルウェアなどに感染してしまうのを狙う。

 しかし、PayChoiceでは、顧客名が表示され、それぞれの顧客にあててのメッセージだったということで、ターゲットをしぼった攻撃だ。受信者は宛名に自分の名前が出ていることで、実際にPayChoiceから送付されたメールだと信じてしまいやすい。さらに、メールの本文は、受信者の個人名に続き、onlineemployer.comのユーザ名と、一部のついてはサイトへのパスワード4文字分も含まれていたことで、受信者にとってはより信憑性の高いメールになっていた。

 これらのメールはYahoo!が無料で提供するWebメールを利用して送信されているが、e-mailで表示される送信元は"Online Employer Update Center"だ。メールでは、受信者に対して、マルウェアのファイルをダウンロードするために、幾つかのWebサイトにアクセスすることを求めている。Webサイトは、ポーランドのサーバでホスティングされていた。

●悪用されたセキュリティ脆弱性

 そして、リンクされていたサイトは、Webブラウザにおけるセキュリティ上の幾つかの欠点を悪用して、マルウェアをインストールしようとする。ダウンロードのオプションとして、Google Chrome、Opera、Internet Explorer、Mozilla Firefoxのいずれかを選ぶことができるように提示されているが、全てマルウェアがダウンロードされるようにリンクされていた。

 Krebsによると、MicrosoftのExplorerやアドビ社のFlashやReaderのセキュリティ上の脆弱性などを悪用して…

【執筆:バンクーバー新報 西川桂子】
──
※ この記事は Scan購読会員向け記事をダイジェスト掲載しました
購読会員登録案内
http://www.ns-research.jp/cgi-bin/ct/p.cgi?m-sc_netsec
《ScanNetSecurity》

Scan PREMIUM 会員限定記事

もっと見る

Scan PREMIUM 会員限定記事特集をもっと見る

Scan BASIC 会員限定記事

もっと見る

Scan BASIC 会員限定記事特集をもっと見る

[Web小説] サイバー探偵 工藤伸治の事件簿サーガ (シーズン 1~6 第1話)

もっと見る

[Web小説] サイバー探偵 工藤伸治の事件簿サーガ (シーズン 1~6 第1話)特集をもっと見る

カテゴリ別新着記事

国際 カテゴリの人気記事 MONTHLY ランキング

  1. 搾取される底辺サイバー犯罪者、無料配付トロイにはバックドア(The Register)

    搾取される底辺サイバー犯罪者、無料配付トロイにはバックドア(The Register)

  2. セキュリティ人材の慢性不足、海外の取り組みは(The Register)

    セキュリティ人材の慢性不足、海外の取り組みは(The Register)

  3. WPA2の新たな脆弱性への攻撃KRACK、暗号化技術の根底にある欠陥(The Register)

    WPA2の新たな脆弱性への攻撃KRACK、暗号化技術の根底にある欠陥(The Register)

  4. SMSによる二要素認証が招くSOS(The Register)

  5. 「Tor 禁止令」を解く Facebook、暗号化の onion アクセスポイントを宣伝~これからは暗号化通信も完全に OK(The Register)

  6. フィッシング詐欺支援サービスの価格表(The Register)

  7. iCloudからの女優のプライベート画像流出事件、容疑者がフィッシングの罪を大筋で認める

  8. Mac OS X のシングルユーザモードの root アクセス(2)

  9. AWS 設定ミスでウォールストリートジャーナル購読者情報他 220 万件流出(The Register)

  10. 「過激派の」Tails や Tor を使っている? おめでとう、あなたは NSA のリストに載っている~Linux 情報サイトの読者や、プライバシーに関心を持つネット市民が標的にされているとの報告(The Register)

全カテゴリランキング

★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★
<b>★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★</b>

経営課題としてサイバーセキュリティに取り組む情報システム部門や、研究・開発・経営企画に携わる方へ向けた、創刊19年のセキュリティ情報サービス Scan PREMIUM を、貴社の事業リスク低減のためにご活用ください。

×