Fox on Security

セキュリティリサーチャー(インシデントアナリスト)で、セキュリティコンサルタントのキタきつねの独り言。専門はPCI DSS。諸々のお問合せ(取材、執筆、各種お問合せ等)はフォックスエスタ (https://foxestar.hatenablog.com/)をご覧ください。

求人サイトへの攻撃

この記事を見て、求人サイトも(今後)攻撃対象となり得るな・・と感じました。ハッカーがロシアの求人サイトから50万件の個人情報を窃取した様です。

www.ehackingnews.com

 

ハッカーフォーラムは、ポータルjobinmoscow.ruのユーザーのデータベースを取得しました。Device Lockの創設者でテクニカルディレクターのAshot Hovhannisyanによると、データベースには、公開されている情報に加えて、500,000ユーザーのログインとパスワードがあります。

メディアは、一部のログインとパスワードが関連していると指摘しました。それらのいくつかを入力すると、ポータルユーザーのページにアクセスできます。ジャーナリストがこれについてサイトの代表者に通知した後、アカウントを入力することは不可能になりました。

ただし、リークが発生したサイトを所有している会社は、データリークに関する情報を確認しました。

「状況をすばやく分析した結果、法律に違反していないことがわかりました。当社の専門家は、サイトの技術的セキュリティに対する潜在的な脅威を分析し、サイトの不正使用を防ぐために必要な措置を講じました」とコメントしましたリーク、Forex Consulting CEOのYuri Mozgovenko。

専門家は、サイトの顧客の個人データが偽の雇用の闇市場で使用できると報告しました。詐欺師は応募者に電話して仕事を約束することができますが、採用の最終段階では、少額の支払いを求められます

さらに、パスワードの漏洩はユーザーのソーシャルネットワーク脆弱性をもたらし、ハッキングされる可能性があります。専門家はまた、履歴書には申請者に関する個人情報だけでなく、以前の雇用者に関するデータも含まれていることに注意しています。このようなリークの結果として、特定の会社の履歴書または空席を交換して、ビジネスの評判を損なうことが可能になります。

ただし、専門家はそのようなデータ漏洩の重大な脅威を認識していません。
jobinmoscow.ruによると、209,000社の566,000を超える求人と、195,000を超える履歴書が投稿されました。

(eHackingnews記事より引用)※機械翻訳

 

◆キタきつねの所感

ロシアの求人サイト「JOB IN MOSCOW」は求人数56.5万件(21万社)、履歴書登録が19.5万件と書かれていましたので、比較的大きな求人サイトです。公開されているユーザ以外に、50万件のIDとパスワードが漏えいしたと記事には書かれているので、過去分も含めたデータが漏えいしたと考えられます。

f:id:foxcafelate:20191201103952p:plain

 

一部ジャーナリストが、ハッカーフォーラムでデータベースが公開されており、そのデータを用いて「JOB IN MOSCOW」にログインが可能であった事を運営側に伝えた後に、対策が打たれた(調査された)様ですが、既に外部に漏えいした50万件以上の個人情報が、今後別な事件に使われてしまうリスクが懸念されています。

記事中では、偽就職に際しての少額の登録料詐欺や、過去の求人登録データを利用してのレピュテーション(企業の評判を下げる)攻撃などへの不正利用が懸念されていますが、私は登録者のデータを利用して、お金に困ってそうな登録者に、例えばATMからの出し子募集の誘いをかけたり、IT技術に長けている登録者をハッカー側にスカウトする、あるいはAPT攻撃の為に、以前勤めていた会社の従業員を探し出して偽の就職面談中にターゲット企業の情報を吸い上げる・・・等々、SNSアカウントのハッキング、フィッシングや、少額詐欺以外にもデータ利活用の可能性は多々あると思います。

 

そしてふと思うのが、これがリクルート等が運営している、日本の求人サイトで発生するリスク・・有益な個人情報という意味では、日本でも攻撃対象にはなり得てしまう事に怖さを感じます。

海外ハッカーが英語等の外国語が出来ない技術者をスカウトする可能性はほぼ無いでしょうが、出し子程度の単純犯罪であれば、すぐにでもこうした個人情報が使えるでしょうし、APT攻撃を考えた際に、”日本の協力者”(例えばフィッシングメール文面の校正)を手に入れる・・といった事であれば、候補者のスクリーニングに使える情報を海外ハッカーが欲しがる可能性は十分にあるかと思います。

 

いつもながら想像だけでこうしたリスクを語るのは、またどこぞからお叱りを受けるかも知れませんが、個人情報を抱えている企業は、その管理に十分目を配るべき、その事は改めて意識する必要があるのではないでしょうか。

 

 

本日もご来訪ありがとうございました。

 

 

日本人のためのパスワード2.0   ※JPAC様 ホームページ

7/8に日本プライバシー認証機構(JPAC)様からホワイトレポートをリリースしました。キタきつねとしての初執筆文章となります。「パスワードリスト攻撃」対策の参考として、ご一読頂ければ幸いです。

 

 

 転職を考えている女性会社員のイラスト
 

更新履歴

  • 2019年12月1日AM(予約投稿)