Fox on Security

セキュリティリサーチャー(インシデントアナリスト)で、セキュリティコンサルタントのキタきつねの独り言。専門はPCI DSS。

ポケモンファンサイトもハッキング被害

つぶやいてみた。

著名サイトの運営者は、明日は我が身だと考えておく方が良いかも知れません。海外のポケモンカードゲーム専用サイトPokeBeachがハッキング被害を受け、ランサム被害を受けそうになったと報じられていました。

kotaku.com

悲惨なほど身近なリフレインになりつつある中で、プロのハッカーは所有者を身代金にしようとして人気のあるWebサイトを標的にしています。今回は、ポケモンカードゲーム専用の18年前のサイトであるPokeBeachです。ハッカーの失敗した試みの結果、サイトの歴史の大部分が失われました

「PokeBeachは月曜日にハッキングされました」と、サイトの作成者であるJon Sahagian(偽名でWaterPokémonMasterとして知られている)による説明的な投稿が始まります。「すべてのファイルが削除されました。私たちは過去72時間にわたって状況を評価してきました。私はほとんど眠っていません。」

非常に人気のあるポケモンTCGサイト(今年5月に400万人近くの訪問者を誇る)は、サハジアンが14歳のときに開始しました。月曜日に、ハッカーはサイトのサーバーから20年近くのファイルを削除し、バックアップを削除するスクリプトを実行しました。彼らの意図は、自分たちのためにコピーを保管し、それを使ってサハジアンを脅迫し、それを元に戻すためにお金を払うことでした。

 

キタきつねの所感

海外のポケモントレーディングカードの人気は日本以上とも言われ、最近では高額取引される(た)カードのニュースの多くが、海外で、その人気を支えていると言っても過言ではないかと思います。

news.yahoo.co.jp

news.yahoo.co.jp

 

こうしたファンを支えるファンサイトの1つPokeBeachが、ハッキング被害は、ランサム攻撃がギリギリの所で防がれたケースとして、参考になるかも知れません。

 

被害を受けたサイトを見ると、文字データは復旧している様ですが、過去の画像データは削除されて復旧が困難な様です

f:id:foxcafelate:20210704081004p:plain

 

 

公式発表でハッキングの詳細部分はぼやかされていますが、経緯部分は丁寧に書かれていました。

www.pokebeach.com

ハッキングは、金銭的利益のためにウェブサイトを人質にしたいと考えていた海外のチームによって行われた専門的な仕事でした。チームは、1週間前に更新した人気のあるソフトウェアを悪用して、サイトにアクセスしました。現在、法的オプションを検討しているため、あまり詳細に立ち入ることはできません。

チームはまず、バックアップスクリプトリバースエンジニアリングして、すべてのオフサイトバックアップを削除しました。手遅れになるまで、これは気づかれませんでした。彼らはまた、新しい加入者が彼らのPaypalアカウントに紹介されるように、PokeBeachの記事プログラムを変更しようとしました。これは即座にPaypalに報告され、Paypalは新しいアカウントが影響を受けていないことを確認するために協力しました。

それらをWebサーバーからロックアウトすると、それらはクリーンにワイプするコマンドを発行しました

(中略)

後で、ある個人から、ファイルの一部を元に戻したい場合は、このツイートからカードを郵送するように提案するメッセージを受け取りました 。私が彼を無視した後、彼は姿を消した。

 

怖いと感じたのが、「オフサイトバックアップ」が削除された所です。

バックアップは、プログラムで別な保管場所へデータを転送していたものと推測されますが、バックアップスクリプトが解読され、不正改ざんされて、気が付かない間にデータが消去され、バックアップが”正常終了”したログしか残ってなかったとしたら、これを検知するのは難しいかったかと思います。

※バックアップスクリプトを改ざん検知サービスの対象にする事や、正規プログラムのハッシュを確認する事で改ざんを検知する、あるいはログの正常終了だけでなく、バックアップされたデータ”量”もログに表示させる様にする事などもこうした攻撃への対策として考えられますが、攻撃者に深く侵入されて関連プログラム等がリバースエンジニアリングされている場合、多層防御の考え方が重要になるかと思います。

 

バックアップデータを守るという視点で、この攻撃を防ぐには、可能であれば「オフラインバックアップを持つ」事ではないかと思いますが、被害を受けたサイトの管理者はその選択をしてなかったと推測されます。

オフラインバックアップは、手間がかかるので採用しない事は分からなくはありませんが、定期的に(差分)データをコピーしていれば、画像等が(ほぼ)全滅するという事態までには至らなかったかと思います。

 

攻撃者にランサム(身代金)を支払う事を避ける為には、攻撃を受ける事を考えてオフラインを含むバックアップ戦略を考える事がいかに重要であるか、このインシデントが教えてくれる事は、多くの企業・組織にとって気づきになるかと思います。

 

本日もご来訪ありがとうございました。

Thank you for your visit. Let me know your thoughts in the comments.

 

 カードを出す人のイラスト

 

更新履歴

  • 2021年7月4日 AM