海外における個人情報流出事件とその対応 第208回 給与支払サービス大手でデータ漏えいか? (2)利用されるSQLインジェクション | ScanNetSecurity[国内最大級のサイバーセキュリティ専門ポータルサイト]
2018.10.20(土)

海外における個人情報流出事件とその対応 第208回 給与支払サービス大手でデータ漏えいか? (2)利用されるSQLインジェクション

●対応に追われるPayChoice

国際 海外情報
●対応に追われるPayChoice

 KrebsはPayChoiceから「(PayChoice)はオンラインシステムが23日に侵害を受けたことを発見。直ちにonlineemployer.comサイトをシャットダウンした」とのe-mailを受け取ったことを明らかにしている。また、ユーザにサイトアクセスのためのパスワードを変更することを求めるなど、顧客の情報を守るための措置も行ったという。

 また、FriedlはPayChoiceが顧客宛に送った通知を入手している。通知によると、PayChoiceがポータルを一時使用不能にしたのは、23日の正午ごろで、その約12時間後、深夜0時すぎに再開している。

 「この事件を最高レベルの配慮、顧客、ソフトウェアの顧客、そして顧客の従業員への気遣いで扱っている」とCEO、Robert Digbyは答えている。通知によると、セキュリティ会社のSymantecに依頼して、犯罪者が作成したプラグインについて調査した。さらに

・プラグインをダウンロードするWebサイトを無効化
ユーザはリンクされているWebサイトにアクセスすることで、マルウェアに感染するため、防御のためにWebサイトを使用不可能とした。

・e-mailを送信しているサイトを無効化
これ以上、e-mailが送付されないようにする。

・メールの送信者がどのようにしてユーザの情報を獲得したのか調査
PayChoiceインフラをフォレンジック調査。PayChoiceが調査を行ったのは、再発を防ぐためにも、いかにしてサイバー犯罪者が情報を獲得したのかを調べることは大切だからと考えられる。

その他
・PayChoiceの極秘情報に外部からのアクセスがないか調査
・取締機関に通報
を行った。

●対策後も続く攻撃

 PayChoiceでは、攻撃に対して、さまざまな対策を講じたが、攻撃は止まらなかった。9月25日にも23日に送付されたのと似たメールがユーザに送られている。そのため、PayChoiceでも25日付で状況をアップデートするために、顧客に新しいメッセージを送付した。

 メールでは、過去3日間にわたり、プラグインのダウンロードを求めるPayChoiceを騙ったe-mailが送付されている可能性について触れ、メールの件名がOnline Employer Plug-inや、それに似たものである場合は、直ちにメールを削除するようにアドバイスを行っている。さらに事件の結果、ユーザがサイトにアクセスするには新しいログインIDを発行したことを説明。このIDでログインして、パスワードを変更するように求めている。

 これらの措置を行っている間も攻撃は止まらず、PayChoiceでは10月14日に再びWebサイトを一時使用不能とした。これは、一部顧客のデータで、偽の従業員が加えられていたためだ。

 PayChoiceでは状況を調査をして、有効なユーザ情報を用いて権限なしにデータにアクセスして、これらの従業員を追加していることを確認した。顧客が気付かずに、"偽の従業員"に給与を支払うことを犯人は狙っていたということだろう。FriedlのWebログには、PayChoiceのライセンシーの顧客1社で、"偽の従業員"4人が加えられていて、小切手支払い額はそれぞれ8,000ドル程度だったとしている。

 また、犯人はログインIDやパスワードを不正に入手して、onlineemployer.comのサイトにログインして、パスワードを変更している。パスワード変更で悪用されたのは、Webサイトの脆弱性らしい。そのため、PayChoiceでは、脆弱性の問題を解決するまでは、パスワード変更ができないようにした。興味深いことに、この攻撃は給与支払いサービス業界の会議がユタで開催されているのと同じ時期に行われたことにも、『Washington Post』は触れている。PayChoiceや、そのライセンシーの多くが出席していたことで、これらの企業ではスタッフが足りない状態だったという。

●危険なSQLインジェクション

 犯人の侵入方法だが、FriedlはSQL インジェクションの可能性があるとの考えだ。しかし、17日付のブログを読むと、"間違えているかもしれない"と自分の予測に自信があるわけではなさそうだ。そして、犯人らは継続的にonlineemployer.comへのアクセスを持っていたという考えだ。つまり、今回、給与支払いに"偽の従業員"が加えられていたのは、継続的で、"二度目の侵入"ではないとする。

 SQLインジェクションは、アプリケーションのセキュリティ上の脆弱性を悪用して、SQL文を改ざんして、データベースシステムを不正にアクセスする攻撃のことだ。史上最悪とも言われている米国の決済処理会社Heartlandでの、データ漏えい事件でもSQLインジェクションが攻撃に利用されている。

 犯人のAlbert Gonzalezは、SQLインジェクションでHeartlandのシステムに侵入。ネットワークへのアクセスを得た後…

【執筆:バンクーバー新報 西川桂子】
──
※ この記事は Scan購読会員向け記事をダイジェスト掲載しました
購読会員登録案内
http://www.ns-research.jp/cgi-bin/ct/p.cgi?m-sc_netsec
《ScanNetSecurity》

Scan PREMIUM 会員限定記事

もっと見る

Scan PREMIUM 会員限定記事特集をもっと見る

カテゴリ別新着記事

(。・ω・)ゞ !!ScanNetSecurity創刊20周年特別キャンペーン実施中。会員限定 PREMIUM 記事読み放題。早割10月末迄。現在通常料金半額以下!!
<b>(。・ω・)ゞ !!ScanNetSecurity創刊20周年特別キャンペーン実施中。会員限定 PREMIUM 記事読み放題。早割<font color=10月末迄。現在通常料金半額以下!!">

サイバーセキュリティの専門誌 ScanNetSecurity は 1998年の創刊から20周年を迎え、感謝を込めた特別キャンペーンを実施中。創刊以来史上最大割引率。次は30周年が来るまでこの価格はもうありません

×