SCAN DISPATCH : 盗まれたFTP情報が闇取引、SaaSとして提供も | ScanNetSecurity
2024.05.07(火)

SCAN DISPATCH : 盗まれたFTP情報が闇取引、SaaSとして提供も

SCAN DISPATCH は、アメリカのセキュリティ業界及ハッカーコミュニティから届いたニュースを、狭く絞り込み、深く掘り下げて掲載します。

国際 海外情報
facebookLINE
SCAN DISPATCH は、アメリカのセキュリティ業界及ハッカーコミュニティから届いたニュースを、狭く絞り込み、深く掘り下げて掲載します。

──

盗まれたFTPログイン情報が闇取引されていることが明らかにされた。その中には、日本の企業ドメインも含まれている。

2月末、米国カリフォルニア州に本社があるセキュリティ企業のFinjan社が、「Finjan Uncovers More than 8,700 FTP Server Credentials」というタイトルのプレスリリースを流した。これは、Finjan社のMalicious Code Research Center (MCRC) が毎月発表する「Malicious Page of the Month」の2008年2月号に基づいている。MCRCが、全世界8,700のFTPサーバーのログイン情報が売買されていることを発見した、というものだ。Finjan社のCTOであるYuval Ben-Itzhak とのメールでのインタビューの模様を交えてレポートを紹介する。

Finjan社がこのレポートを作成するきっかけとなったのは、「悪意がある」と判断されたURL、meoryprof.info (me-or-you-profit「俺かお前の利益の情報」の意味)が、政府関連URL内部で検知されたことをきっかけとしている。MCRCがさらに調査してみると、この悪意のあるURLは、Neospolitという複数のユーザー(攻撃者)がリモートから使用できるように設定されている Software as a Service(SaaS)であることが判明した。この場合のSoftware as a Serviceとは、攻撃用アプリケーション、攻撃に必要な情報や攻撃対象、アプリケーションの使用権利などをパッケージにして販売するもの。この発見されたURLにも、サービスと共にバックエンドにFTPのログイン情報を売買するアプリケーションが見つかっていた。

NeoSploitは、2007年の初頭に発見され、最近ポピュラーになってきている攻撃用CGIスクリプトで、"grabarz"によってC言語でプログラムされている。ストリート価格は1,500ドルから3,000ドルと言われている。

攻撃者、つまりユーザーは、NeoSploitの自分のアカウントにログインし、用意された8,700の盗難されたFTPのアドレス、ログインIDとパスワードを選んで購入し、そのFTPのアカウントにあるwebpageのindexに自動的にiFrameのタグを挿入するようになっているほか、任意のファイルをそのFTPにアップロードすることもできる。

売買用インターフェイスでは、どの国に存在するFTPか、GoogleのPageRank(tm)で何位になるかなどの情報と照らし合わせて、ログイン情報の価格を決定するようになっていた。インターフェースはロシア語である。

見つかったFTPログイン情報は、Alexa.comによると、トップ100に含まれているドメインが10個ほど、100〜500位にランキングされているドメインが100個ほどあった。Finjan社のCTOである Yuval Ben-Itzhak氏によれば、「どの企業がリストに入っていたかは公開できないが、 製造業、マスコミ、学術関連、IT、政府、金融などあらゆる企業が含まれており、2,300が米国の企業、日本の企業(*.jp)も全部で4ドメイン見つかっている」という。売買用インターフェースは、ユーザー(攻撃者)がURLの国、ランキングなどクリックしながら選んで買えるように設定されている。

一度サービスを購入したユーザー(攻撃者)のアカウントからは、ユーザー(攻撃者)が設定した悪意のあるプログラムにアクセスしている被害者の数、現在までのクライムウエア(犯罪目的のソフトウエア)のダウンロード数、すでにダウンロードされたクライム・ウエアで、きちんと連絡がとれた数、などが一覧できるようになっている他、図のように、リンクをたどると、iFrameの実際のコード、トロイの木馬のプログラムなどがダウンロードできるようになっている。

https://www.netsecurity.ne.jp/images/article/080304_finjan.jpg

昨今、正規のウエブサイトに…


【執筆:米国 笠原利香】
【関連リンク】
Finjan社プレスリリース
http://www.finjan.com/Pressrelease.aspx?id=1868&PressLan=1819&lan=3
──
※ この記事は Scan購読会員向け記事をダイジェスト掲載しました
購読会員登録案内 http://www.ns-research.jp/cgi-bin/ct/p.cgi?w02_ssw

《ScanNetSecurity》

PageTop

アクセスランキング

  1. ランサムウェア被害の原因はスターティア社の UTM テストアカウント削除忘れ

    ランサムウェア被害の原因はスターティア社の UTM テストアカウント削除忘れ

  2. モリサワ他と損害賠償金4,500万円支払で調停成立~フォント不正コピーの印刷会社

    モリサワ他と損害賠償金4,500万円支払で調停成立~フォント不正コピーの印刷会社

  3. 「意識を高揚させよう」と思い特定秘密の情報を知るべき立場にない隊員に特定秘密の情報を漏らす、懲戒処分に

    「意識を高揚させよう」と思い特定秘密の情報を知るべき立場にない隊員に特定秘密の情報を漏らす、懲戒処分に

  4. クラウド労務管理「WelcomeHR」の個人データ閲覧可能な状態に、契約終了後も個人情報保存

    クラウド労務管理「WelcomeHR」の個人データ閲覧可能な状態に、契約終了後も個人情報保存

  5. 護衛艦いなづまの艦長、資格のない隊員を特定秘密取扱職員に指名し懲戒処分

    護衛艦いなづまの艦長、資格のない隊員を特定秘密取扱職員に指名し懲戒処分

  6. 信和へのランサムウェア攻撃で窃取された情報、ロックビット摘発を受けてリークサイトが閉鎖

    信和へのランサムウェア攻撃で窃取された情報、ロックビット摘発を受けてリークサイトが閉鎖

  7. メディキットホームページに不正アクセス、閲覧障害に

    メディキットホームページに不正アクセス、閲覧障害に

  8. 「ジャンクガン」下流サイバー犯罪者が見るランサムウェアギャングの夢

    「ジャンクガン」下流サイバー犯罪者が見るランサムウェアギャングの夢

  9. セガ フェイブが利用するメールシステムに不正アクセス、フェニックスリゾートが保有する個人情報が流出した可能性

    セガ フェイブが利用するメールシステムに不正アクセス、フェニックスリゾートが保有する個人情報が流出した可能性

  10. 日本は悪意ある内部犯行による漏えいが 12 ヶ国中最小、プルーフポイント「Data Loss Landscape 2024(情報漏えいの全容)」日本語版

    日本は悪意ある内部犯行による漏えいが 12 ヶ国中最小、プルーフポイント「Data Loss Landscape 2024(情報漏えいの全容)」日本語版

ランキングをもっと見る
ホーム 国際 海外情報 記事
TOP