海外における個人情報流出事件とその対応 第208回 給与支払サービス大手でデータ漏えいか? (2)利用されるSQLインジェクション | ScanNetSecurity[国内最大級のサイバーセキュリティ専門ポータルサイト]
2017.12.18(月)

海外における個人情報流出事件とその対応 第208回 給与支払サービス大手でデータ漏えいか? (2)利用されるSQLインジェクション

国際 海外情報

●対応に追われるPayChoice

 KrebsはPayChoiceから「(PayChoice)はオンラインシステムが23日に侵害を受けたことを発見。直ちにonlineemployer.comサイトをシャットダウンした」とのe-mailを受け取ったことを明らかにしている。また、ユーザにサイトアクセスのためのパスワードを変更することを求めるなど、顧客の情報を守るための措置も行ったという。

 また、FriedlはPayChoiceが顧客宛に送った通知を入手している。通知によると、PayChoiceがポータルを一時使用不能にしたのは、23日の正午ごろで、その約12時間後、深夜0時すぎに再開している。

 「この事件を最高レベルの配慮、顧客、ソフトウェアの顧客、そして顧客の従業員への気遣いで扱っている」とCEO、Robert Digbyは答えている。通知によると、セキュリティ会社のSymantecに依頼して、犯罪者が作成したプラグインについて調査した。さらに

・プラグインをダウンロードするWebサイトを無効化
ユーザはリンクされているWebサイトにアクセスすることで、マルウェアに感染するため、防御のためにWebサイトを使用不可能とした。

・e-mailを送信しているサイトを無効化
これ以上、e-mailが送付されないようにする。

・メールの送信者がどのようにしてユーザの情報を獲得したのか調査
PayChoiceインフラをフォレンジック調査。PayChoiceが調査を行ったのは、再発を防ぐためにも、いかにしてサイバー犯罪者が情報を獲得したのかを調べることは大切だからと考えられる。

その他
・PayChoiceの極秘情報に外部からのアクセスがないか調査
・取締機関に通報
を行った。

●対策後も続く攻撃

 PayChoiceでは、攻撃に対して、さまざまな対策を講じたが、攻撃は止まらなかった。9月25日にも23日に送付されたのと似たメールがユーザに送られている。そのため、PayChoiceでも25日付で状況をアップデートするために、顧客に新しいメッセージを送付した。

 メールでは、過去3日間にわたり、プラグインのダウンロードを求めるPayChoiceを騙ったe-mailが送付されている可能性について触れ、メールの件名がOnline Employer Plug-inや、それに似たものである場合は、直ちにメールを削除するようにアドバイスを行っている。さらに事件の結果、ユーザがサイトにアクセスするには新しいログインIDを発行したことを説明。このIDでログインして、パスワードを変更するように求めている。

 これらの措置を行っている間も攻撃は止まらず、PayChoiceでは10月14日に再びWebサイトを一時使用不能とした。これは、一部顧客のデータで、偽の従業員が加えられていたためだ。

 PayChoiceでは状況を調査をして、有効なユーザ情報を用いて権限なしにデータにアクセスして、これらの従業員を追加していることを確認した。顧客が気付かずに、"偽の従業員"に給与を支払うことを犯人は狙っていたということだろう。FriedlのWebログには、PayChoiceのライセンシーの顧客1社で、"偽の従業員"4人が加えられていて、小切手支払い額はそれぞれ8,000ドル程度だったとしている。

 また、犯人はログインIDやパスワードを不正に入手して、onlineemployer.comのサイトにログインして、パスワードを変更している。パスワード変更で悪用されたのは、Webサイトの脆弱性らしい。そのため、PayChoiceでは、脆弱性の問題を解決するまでは、パスワード変更ができないようにした。興味深いことに、この攻撃は給与支払いサービス業界の会議がユタで開催されているのと同じ時期に行われたことにも、『Washington Post』は触れている。PayChoiceや、そのライセンシーの多くが出席していたことで、これらの企業ではスタッフが足りない状態だったという。

●危険なSQLインジェクション

 犯人の侵入方法だが、FriedlはSQL インジェクションの可能性があるとの考えだ。しかし、17日付のブログを読むと、"間違えているかもしれない"と自分の予測に自信があるわけではなさそうだ。そして、犯人らは継続的にonlineemployer.comへのアクセスを持っていたという考えだ。つまり、今回、給与支払いに"偽の従業員"が加えられていたのは、継続的で、"二度目の侵入"ではないとする。

 SQLインジェクションは、アプリケーションのセキュリティ上の脆弱性を悪用して、SQL文を改ざんして、データベースシステムを不正にアクセスする攻撃のことだ。史上最悪とも言われている米国の決済処理会社Heartlandでの、データ漏えい事件でもSQLインジェクションが攻撃に利用されている。

 犯人のAlbert Gonzalezは、SQLインジェクションでHeartlandのシステムに侵入。ネットワークへのアクセスを得た後…

【執筆:バンクーバー新報 西川桂子】
──
※ この記事は Scan購読会員向け記事をダイジェスト掲載しました
購読会員登録案内
http://www.ns-research.jp/cgi-bin/ct/p.cgi?m-sc_netsec
《ScanNetSecurity》

Scan PREMIUM 会員限定記事

もっと見る

Scan PREMIUM 会員限定記事特集をもっと見る

Scan BASIC 会員限定記事

もっと見る

Scan BASIC 会員限定記事特集をもっと見る

[Web小説] サイバー探偵 工藤伸治の事件簿サーガ (シーズン 1~6 第1話)

もっと見る

[Web小説] サイバー探偵 工藤伸治の事件簿サーガ (シーズン 1~6 第1話)特集をもっと見る

カテゴリ別新着記事

国際 カテゴリの人気記事 MONTHLY ランキング

  1. ロシアが中印らと独自インターネット構築か、グローバルDNS分裂の危機を追う(The Register)

    ロシアが中印らと独自インターネット構築か、グローバルDNS分裂の危機を追う(The Register)

  2. 米軍のSNSに対する膨大なスパイアーカイブ、AWS で数十テラ閲覧可(The Register)

    米軍のSNSに対する膨大なスパイアーカイブ、AWS で数十テラ閲覧可(The Register)

  3. どこかへ跳んでいけ、出来の悪いラビット(The Register)

    どこかへ跳んでいけ、出来の悪いラビット(The Register)

  4. 死亡した男性のメールアカウントを巡るヤフーと裁判所の争い(The Register)

  5. 捜査中だった米大統領選に使用されたサーバのデータが消失(The Register)

  6. 「Tor 禁止令」を解く Facebook、暗号化の onion アクセスポイントを宣伝~これからは暗号化通信も完全に OK(The Register)

  7. 日本, EU, シンガポール他各国の個人情報保護法令比較、GDPRは

  8. Anonymousが幼児虐待の秘密の拠点を閉鎖~Tor小児愛者を攻撃し氏名を暴露(The Register)

  9. インドのレジストリで情報漏えい、インドのネットを壊滅させるデータのビットコイン価格とは(The Register)

  10. Mac OS X のシングルユーザモードの root アクセス(2)

全カテゴリランキング

★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★
<b>★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★</b>

経営課題としてサイバーセキュリティに取り組む情報システム部門や、研究・開発・経営企画に携わる方へ向けた、創刊19年のセキュリティ情報サービス Scan PREMIUM を、貴社の事業リスク低減のためにご活用ください。

×