Fox on Security

セキュリティリサーチャー(インシデントアナリスト)で、セキュリティコンサルタントのキタきつねの独り言。専門はPCI DSS

USPSはAPIリスクを1年放置した

日本の主要メディアの報道が無いのがとても不思議なのですが、米国郵便公社(USPS)が1年以上も脆弱性を放置して最大6000万人のユーザ情報が影響を受けた可能性があったと公表されています。

www.theinquirer.net

THE UNITED STATES POSTAL SERVICE (USPS) has plugged an API flaw that exposed the personal data of 60 million customers.

As per Krebs on Security, which received a tip-off from an anonymous researcher, the glitch stemmed from an authentication weakness an API tied to USPS' 'Informed Visibility' programme, which is designed to help companies "make better business decisions by providing them with access to near real-time tracking data" about mail campaigns and packages.

The tool, however, also lets anyone logged in to USPS.com to search the system for account details belonging to any other users, including email address, account number, street address and phone number.

And thanks to the programme's "wildcard" search parameters, anyone logged in with a basic understanding of modifying parameters in the browser-based console could pull up reams of data on other users.

"Everything from usernames and account numbers to physical addresses and phone numbers was there for the taking," Krebs notes.

(The Insider記事より引用)

◆キタきつねの所感

USPSと言えば、日本では『日本郵政』に相当する米国の郵便事業会社です。そのUSPSが企業のメールキャンペーンやパッケージ配送などについてトラッキングをする目的で開放しているAPIがあり、そこの脆弱性を元に電子メールアドレス、アカウント番号、住所、電話番号など、自分ではなく他のユーザアカウントの情報も検索する事ができたようです。

更に問題だったのが、この検索において『ワイルドカード』が使えたこと。つまり、、、他のユーザアカウントの情報を大量に取得できる可能性があったという事になります。

 

とは言え、ここまでであっても、ある意味バグであったとしてすぐに修正すれば、今回ほどに大きな問題にはならなかったでしょう。USPSは、この脆弱性を見つけた研究者が1年以上前に報告したのを放置していたらしく、その旨を著名なセキュリティリサーチャーであるブライアン・クレブス氏に連絡した事で事件は表面化しました。

f:id:foxcafelate:20181124081023j:plain

 

クレブス氏は、このBlogでも度々ご紹介していますが、海外のセキュリティ業界では知らない人は居ないといっても過言ではない元ワシントン・ポストの記者であり、彼のブログ、Krebs on Securityは多くのセキュリティ専門家に影響力があるサイトとしても有名です。

クレブス氏は、脆弱性を連絡してきた研究者の内容が正しい指摘である事を確認した上で、USPSに連絡します。USPSがすぐにこの脆弱点を修正したのは皮肉ですが、公式には不正な個人情報流出、不正利用は確認できなかったUSPSはコメントしています。

A cursory review by KrebsOnSecurity indicates the promiscuous API let any user request account changes for any other user, such as email address, phone number or other key details.

(Krebs on Security記事より引用)

Krebs氏の記事を見ると、彼の大まかなレビューで任意のユーザが、他のユーザの電子メールアドレス、電話番号、その他の重要情報を変更要求できたと書いていますので、非常に危ない脆弱性であった事が分かります。USPSは一部のフィールドに対して変更検知する仕組みがあった様ですので、攻撃の全てが成功するわけではなかったと思われますが、ユーザ変更がUSPSのビジネスを混乱させるには十分な脆弱点であった様ですし、不正な外部利用という点では、電子メールを使ったフィッシング、あるいは標的型攻撃を行う材料となる可能性もあったと考えられます。

USPSは、APIの利便性(顧客へのサービス)ばかりに目が向いており、自分たちが提供しているサービスに対するセキュリティがどうなっているかについて意識が薄かったと考えられます。これは必ずしも海外企業だけに特有な現象ではなく、日本企業が利用するFinTechサービスでAPI脆弱性が指摘される事も多々あるように、いつでも通信や認証の脆弱性は外部から狙われているのだという事を正しく理解すべきなのだと思います。

自分たちだけでは脆弱性対応に限界がある。それも事実かも知れません。

だからこそ、外部のホワイトハッカーを有効に使って対応していく・・・間違ってもUSPSの様に1年も放置しておかない事が求められているとも言えそうです。

 

 

更新履歴

  • 2018年11月22日AM(予約投稿)