海外における個人情報流出事件とその対応 第208回 給与支払サービス大手でデータ漏えいか? (1)脆弱性を利用しマルウェアを配布 | ScanNetSecurity[国内最大級のサイバーセキュリティ専門ポータルサイト]
2017.08.16(水)

海外における個人情報流出事件とその対応 第208回 給与支払サービス大手でデータ漏えいか? (1)脆弱性を利用しマルウェアを配布

国際 海外情報

 9月下旬に、米国の会社PayChoiceでシステムがサイバー犯罪者の侵入を受けた。最初にブログで取り上げたのは、Unixwiz.netのSteve Friedlだ。Steve Friedlはカリフォルニアに住むソフトウェアとネットワークセキュリティのコンサルタントだ。その後、Friedlが書いた内容を、9月30日付の『Washington Post』のセキュリティブログ、Security FixでBrian Krebsが取り上げたことで、セキュリティ関連のメディアが注目する事件となった。

 PayChoiceはニュージャージー州にある、給与処理サービスの会社で、この分野では米国最大手の1社だ。世界的なレベルの給与支払いスイートおよび雇用者のサービスのためのツールを用意している。PayChoiceの製品を使うことで、給与支払いや、記録、税金の申告などの"面倒"から開放されるというもので、240社の給与支払い会社に対して、給与支払い管理製品をライセンス供与している。また、この240社はさらに12万5,000社にサービスを提供している。

 Krebsは、9月23日、多数のPayChoices顧客が、PayChoiceのオンライン給与支払いサービスポータルonlineemployer.comから、サービスに続けてアクセスするためには、Webブラウザプラグインをダウンロードする必要があるとのe-mailを受信したと書いている。Friedlによると、偽のメールで、不正や詐欺、スパムメールなどを避けるために、特別なインターネットブラウザのプラグインをダウンロードすることを求めていたというものだ。

 e-mailでは、プラグインなしでは、メールが送信された5日後にあたる28日からはサイトにアクセスができなくなるとの警告も行われていた。時間を区切ることで、受信者は至急ダウンロードしなければならないという心理的圧力を受け、攻撃の効果は高くなると言えるだろう。しかし、e-mailはPayChoiceから実際に送付されたのではなく、プラグインは被害者のユーザ名やパスワードを盗み出そうとするものだった。、また、PayChoiceでは、影響を受けているのは、Online Employerを使っている顧客のみで、電話やファクスをはじめとする、Web以外のインプット方法を用いている顧客については無事だとしている。

 また、『NetworkWorld』の記事では、顧客の従業員情報への権限のないアクセスがあったという痕跡はないとしている。しかし、顧客に対して、従業員に銀行口座やクレジットカードの使用明細に注意しておき、異常があれば警察に届けるようにアドバイスすることを勧めている。

●メールに顧客ユーザ名とパスワードが表示

 Friedlは、e-mailの英語はあまり良い出来ではないとコメントして、英語圏以外から送信されていたことをほのめかしている。また、Friedlがポスティングしたe-mailのサンプルによると、送信者はOnline Employer Update Center、件名はOnline Employer ブラウザプラグインとなっている。Online EmployerはPayChoiceがライセンス供与をしているソフトウェアだ。

 Krebsは、「通常、フィッシング詐欺だと、無差別に多数の受信者に対してメールを送付する」が、「この攻撃ではPayChoicwの顧客の名前がメッセージの本文で使用されている」と指摘している。フィッシング詐欺の場合、犯罪者は金融機関などになりすまして、メールの受信者の一部が、その金融機関を利用しているという前提の下にメールを送付するというものだ。自分が使っている金融機関からの連絡だと誤解して、大量に送ったメールの受信者の何割かが、メールの指示にしたがい、マルウェアなどに感染してしまうのを狙う。

 しかし、PayChoiceでは、顧客名が表示され、それぞれの顧客にあててのメッセージだったということで、ターゲットをしぼった攻撃だ。受信者は宛名に自分の名前が出ていることで、実際にPayChoiceから送付されたメールだと信じてしまいやすい。さらに、メールの本文は、受信者の個人名に続き、onlineemployer.comのユーザ名と、一部のついてはサイトへのパスワード4文字分も含まれていたことで、受信者にとってはより信憑性の高いメールになっていた。

 これらのメールはYahoo!が無料で提供するWebメールを利用して送信されているが、e-mailで表示される送信元は"Online Employer Update Center"だ。メールでは、受信者に対して、マルウェアのファイルをダウンロードするために、幾つかのWebサイトにアクセスすることを求めている。Webサイトは、ポーランドのサーバでホスティングされていた。

●悪用されたセキュリティ脆弱性

 そして、リンクされていたサイトは、Webブラウザにおけるセキュリティ上の幾つかの欠点を悪用して、マルウェアをインストールしようとする。ダウンロードのオプションとして、Google Chrome、Opera、Internet Explorer、Mozilla Firefoxのいずれかを選ぶことができるように提示されているが、全てマルウェアがダウンロードされるようにリンクされていた。

 Krebsによると、MicrosoftのExplorerやアドビ社のFlashやReaderのセキュリティ上の脆弱性などを悪用して…

【執筆:バンクーバー新報 西川桂子】
──
※ この記事は Scan購読会員向け記事をダイジェスト掲載しました
購読会員登録案内
http://www.ns-research.jp/cgi-bin/ct/p.cgi?m-sc_netsec
《ScanNetSecurity》

Scan PREMIUM 会員限定

もっと見る

Scan PREMIUM 会員限定特集をもっと見る

Scan BASIC 会員限定記事

もっと見る

Scan BASIC 会員限定記事特集をもっと見る

[Web小説] サイバー探偵 工藤伸治の事件簿サーガ (シーズン 1~6 第1話)

もっと見る

[Web小説] サイバー探偵 工藤伸治の事件簿サーガ (シーズン 1~6 第1話)特集をもっと見る

カテゴリ別新着記事

国際 カテゴリの人気記事 MONTHLY ランキング

  1. AWS 設定ミスでウォールストリートジャーナル購読者情報他 220 万件流出(The Register)

    AWS 設定ミスでウォールストリートジャーナル購読者情報他 220 万件流出(The Register)

  2. 総資産 2,303 万 3,975 ドル、逮捕された Alphabay 運営者のずさんなセキュリティ管理 (The Register)

    総資産 2,303 万 3,975 ドル、逮捕された Alphabay 運営者のずさんなセキュリティ管理 (The Register)

  3. Black Hat、DEF CON、BSides 開催でホテルがビジネスセンターを真剣に閉鎖(The Register)

    Black Hat、DEF CON、BSides 開催でホテルがビジネスセンターを真剣に閉鎖(The Register)

  4. 来月ビットコインが消え去るかもしれないが、パニックに陥るべきではない(The Register)

  5. 最大手の広告代理店が NotPetya の攻撃からいまだに立ち直れない原因(The Register)

  6. 「Tor 禁止令」を解く Facebook、暗号化の onion アクセスポイントを宣伝~これからは暗号化通信も完全に OK(The Register)

  7. iCloudからの女優のプライベート画像流出事件、容疑者がフィッシングの罪を大筋で認める

  8. ソフトバンクが 1 億ドル出資し Cybereason の筆頭株主に ~ セキュリティのユニコーン誕生(The Register)

  9. 専門家「隠されたパケットスニファのスパイ技術が、無数の iPhone と iPad に存在している」~「落ち着いて…Apple のバックドアは誰でも入れるほど大きく開いてはいない」重鎮は語る(The Register)

  10. 勤務先の内部情報をダークWebに売る社員、闇のインサイダー取引サービス成長中(The Register)

全カテゴリランキング

★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★
<b>★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★</b>

経営課題としてサイバーセキュリティに取り組む情報システム部門や、研究・開発・経営企画に携わる方へ向けた、創刊19年のセキュリティ情報サービス Scan PREMIUM を、貴社の事業リスク低減のためにご活用ください。

×