サンフランシスコ国際空港(SFO)の2つのWebサイト「SFOConnect.com」「SFOConstruction.com」がデータ侵害を受けたと報じられていました。デジタルスキマーを仕掛けられ職員の認証情報を不正窃取された様です。
www.hackread.com
未知のハッカーは、データ盗用コードをサイトに挿入し、空港の従業員が電子メールやネットワークアカウントにアクセスするために使用する資格情報を危険にさらしました。
当局はハッキングの詳細を明らかにしていませんが、侵害された認証情報がタブレット、ラップトップ、スマートフォンなどの個人用デバイスへのアクセスに使用されたという通知に記載されています。これらのデバイスは、空港のオンラインプラットフォームやクラウドサービスへのアクセスに使用されました。
(HackRead記事より引用)※機械翻訳
キタきつねの所感
デジタルスキマーをECサイトに仕掛けてクレジットカード情報を窃取する、Magecart(国際的ハッカー集団)の攻撃手法とよく似た、多段階の攻撃だった様です。
2020年3月に「SFOConnect.com」「SFOConstruction.com」がハッキングされ、デジタルスキマーを仕掛けられ、空港の従業員が電子メールやネットワークにアクセスする為に使用していた認証情報が漏えいした可能性があると発表されています。
参考:従業員向けの通知
どうやら、SFOは社用端末以外(BYOD)からのアクセスも許容していた様です。
従業員向けの通知内容を見ると、侵害対象は「Internet Explorer on a Windows-based personal device or a device not maintained by SFO」とありますので、空港のネットワーク外からの(BYOD)接続が狙われた事が分かります。
SFO(空港)側は、3月23日にパスワードリセットをしていますので、侵害を検知したのは3月下旬だと考えられます。(※侵害時期は明確に書かれていませんが、半月程度は侵害されていた可能性を感じます)
事件について、多くの侵害事件がそうであるように、外部のネットワークアクセス(特に法人)に対してID/パスワードだけで認証する運用、つまり多要素認証を入れてない事が問題だった可能性が高い気がします。
しかし、それ以上に問題だったのは、Webが改ざんされる(デジタルスキマーを仕掛けられる)という前提で、空港側が対策をしてなかった事なのかと思います。
ECサイトからクレジットカード情報を不正に窃取し続けているMagecartと同じ事件スキームの気がします。
本日もご来訪ありがとうございました。
Thank you for your visit. Let me know your thoughts in the comments.
更新履歴
