Fox on Security

セキュリティリサーチャー(インシデントアナリスト)で、セキュリティコンサルタントのキタきつねの独り言。専門はPCI DSS。

2匹目のドジョウは自分かもしれない

北米の公共向けオンライン請求書支払いポータルClick2Gov(TSM)が集中的に狙われており、多くのインシデント報告が2年前から出ていましたが、どうやら継続して攻撃は続いていた様です。

forbesjapan.com

 

Gemini Advisoryのセキュリティ研究員らは、被害を受けた8都市のリストを公開した。そのうち4都市がフロリダ州の都市で、アイオワ州カリフォルニア州オクラホマ州アイダホ州での発生も確認された。Geminiによると、合計で2万件以上のデータがハッカーのフォーラムで販売されており、そこには全米50州で発行されたクレジットカード情報が含まれているという。ここで気になるのは、被害を受けた6都市で行われた攻撃が、2年前と変わらぬ手法で実施されていたことだ。2017年秋に発生したClick2Govの攻撃では、米国とカナダの46の市政機関に影響が及んでいた。Geminiの研究員らはその際に盗まれた決済情報が30万件以下で、被害金額は少なくとも170万ドルとしていた。しかし、その後1年以上が経過しても新たなカード情報がダークウェブに流出していた
Geminiによるとハッカーらは、その後も一部のシステムに侵入を続けていたようだ。Click2Govの運営元のCentralSquareによると、今回の被害の対象となったのはローカルで保存されていたデータのみだったという。クラウドのストレージには2018年6月にシステムの更新が行われており、被害は起きていない。つまり、ハッカーらはシステム改変後も脆弱な状態で放置された、ローカルのストレージに侵入していたのだ。さらに、第1段の攻撃で侵入したハッカーが、その後もアクセスを続けていたことも推察できる。2年という時間は長いものにも思えるが、数百万ドル単位の金額を狙うハッカーらにとっては、長すぎる時間ではない。
(Forbes記事より引用)

 

◆キタきつねの所感

これこそ、APT攻撃の特性なのだと思います。APTのPは、Persistent」(執拗な/持続的な)という意味になるのですが、正にその状態が、Click2Govサービスにあったという事なのだと思います。

肝心なのは、メインサービス(クラウド=運営主体)側は脆弱性を改善していたとしても、サービス利用側(自治体)がローカルに残していたデータ(おそらくバックアップデータ)が襲われたのだとしたら、残念としか言えません。

 

結果として、2万件以上のカードデータがハッカーフォーラムで販売された事しか分かりませんので、どういった脆弱性を攻められたのか、あるいはサービス主体(Click2Gov運営)と自治体(ユーザ)のどちらに大きな問題があったのかについては分かりませんが、1つ言えるのは、自治体(ユーザ)側が、ISMSPCI DSSで言う重要資産管理をしてなかったのは間違いないかと思います。

 

それが記事にある、

つまり、ハッカーらはシステム改変後も脆弱な状態で放置された、ローカルのストレージに侵入していたのだ。

の状態なのだと思います。

 

因みに、、、この状態で事故を受けたのだとすれば、自治体側のローカル(PC/サーバ)にクレジットカードデータがあった事に他ならず、ローカルデータ(バックアップ)が平文であったか、暗号化状態だったかを問わず、PCI DSSでは違反状態です。

つまり漏洩したデータを保有していた自治体はカード情報漏洩に対して責任があり、何らかのペナルティ(罰金)を食らう可能性があるかと思います。

 

インシデントが発生した際に重要なのは、当面のセキュリティ対策だけでなく、重要資産(クレジットカード情報や個人情報)の再確認も必要なのです。さもなくば、2匹目のドジョウになってしまうかも知れない、それがネット上でビジネスを行うという事なのではないでしょうか。

 

 

 

 

 

日本人のためのパスワード2.0   ※JPAC様 ホームページ

7/8に日本プライバシー認証機構(JPAC)様からホワイトレポートをリリースしました。キタきつねとしての初執筆文章となります。「パスワードリスト攻撃」対策の参考として、ご一読頂ければ幸いです。

 

 f:id:foxcafelate:20190928200944p:plain

 

 


 

更新履歴

  • 2019年9月28日PM(予約投稿)