Fox on Security

セキュリティリサーチャー(インシデントアナリスト)で、セキュリティコンサルタントのキタきつねの独り言。専門はPCI DSS。

スプリントへの迂回攻撃

この米国通信キャリア大手のスプリントへの不正アクセスも、サプライチェーン攻撃と言えるかも知れません。サムソンのサイトから不正試行が試みられた影響で(念のため)顧客のPINが初期化されたとForbesが報じていました。

forbesjapan.com

 

米国の通信キャリア業界で第4位のスプリントが、ハッキング被害に遭い顧客情報が流出した可能性があると発表した。ハッカーがターゲットとしたのは、スプリント本体ではなくサムスンのサイトの新規回線契約のページだった。

サイバー犯罪者らはサムスンのページから、スプリントのデータベースに侵入したという。スプリントは顧客向け通知で「先日、Samsung.com経由でスプリントの顧客データベースに、不正アクセスがあったことを検知した。アクセスにあたり、侵入者はスプリントの認証情報を用いていた」と述べた。

影響を受けたアカウントへのアクセスに用いられたパスワードは、過去に流出したものが利用された可能性が高い。背景には消費者らが依然として、パスワードの使い回しを行っていることがあげられる。

 (中略)

盗まれた可能性のあるデータには、電話番号やデバイスID、毎月の請求額、アカウント番号、アカウント作成日、アップグレードの対象、姓名、請求先住所などが含まれていた。

(中略)

スプリントは5400万人以上の契約者を抱えているが、そのうちどの程度の顧客が不正アクセスの対象になったかは開示していない同社は全顧客の暗証コードをリセットし、不正なアカウントの再設定を防止したと述べた。

(ForbesJapan記事より引用)

 

 

◆キタきつねの所感

迂回ルートを使ってのパスワードリスト攻撃と考えるのが妥当かも知れません。英語の記事もいくつか読んでみたのですが、Samsung.comの「add a line」Webサイトが攻撃経路だったようです。

SprintはGizmodoへの侵害を確認し、クレジットカードと社会保障番号は暗号化されているので危険にさらされていないと述べた。Samsungは、Samsungから取得したSprintログイン認証情報を使用して、最近Samsung.com経由でSprintユーザーアカウント情報にアクセスしようとする不正な試みを検出しました」と述べた。

ZDnet記事より引用)※機械翻訳

 

これはサプライチェーン攻撃の一種と言っても良いのではないでしょうか。そして件数こそ発表されていませんが、PINリセットをかける程(Sprintは予防措置と顧客に説明している様ですが)に影響が出たものと思われますので、カード情報や社会保障番号(SSN)までは漏洩しなかったものの、顧客の個人情報が不正に閲覧(窃取)された可能性は高そうです。

 

Samsung顧客宛のレター内容

f:id:foxcafelate:20190720075404p:plain

 

別の記事を見ると、Sprintがこの手のサプライチェーン攻撃を受けたのは初めてではない様で、Boost Mobile社の経由でも3月に不正アクセスが発生していた様です。

 

これはSprintにとってサイバーセキュリティに関する最初の問題ではありません。SprintのモバイルネットワークBoost Mobile は、5月 に、未知の数の顧客に影響を及ぼした違反が報告されたことを受けて、注目を集めました。

その当時、Boostは静かに顧客に通知し、次のように伝えていました。「Boost.comは、不正なオンラインアカウントのアクティビティを経験し、不正な人がBoostの電話番号とBoost.comのPINコードを通してあなたのアカウントにアクセスしました。Boost Mobile詐欺チームはこの事件を発見し、同様の不正なアカウント活動を防止するための恒久的な解決策を実行することができました。」

siliconrepublic記事より引用)※機械翻訳

 

5月にSprintが顧客向けに通知をした際には、PIN変更を促す通知を送る程度であった様ですが、1年で2回の侵害、そして対象がさらに広範囲だった可能性があるSamsung経由という事もあり、今回のサプライチェーン(迂回)攻撃に対しては、強制PINリセットという手段を選ぶ必要があったのかと推測します。

 

日本でも通信キャリア会社は、様々な会社と認証連携をしています。こうした経由が広がれば広がる程、色々な形で狙われやすくなる、そう考えるべき時期が来ているのかも知れません。

 

 

 

 

日本人のためのパスワード2.0   ※JPAC様 ホームページ

7/8に日本プライバシー認証機構(JPAC)様からホワイトレポートをリリースしました。キタきつねとしての初執筆文章となります。「パスワードリスト攻撃」対策の参考として、ご一読頂ければ幸いです。

 

f:id:foxcafelate:20190720080048p:plain

 

更新履歴

  • 2019年7月21日PM(予約投稿)