海外における個人情報流出事件とその対応 第187回 警戒が必要 金融機関Webサイトのハイジャック (1)リダイレクト先に要注意
オンライン支払いサービスのCheckFreeが、ハッカーの攻撃により、最低でも2件のドメインの制御ができなくなったと、12月3日に『The Register』が伝えた。サイトにアクセスしようとした利用者を、犯罪グループが運営しているサーバへ送ってしまっているというものだ。
国際
海外情報
CheckFreeはオンラインでの公共料金などの請求書、各種保険、住宅ローン支払いやインターネットバンキングなど、電子サービスの電子取引を扱う世界の大手企業だ。創業は1981年で、現在の利用者数は数千万人にのぼる。2007年12月にNASDAQに上場されているFiservが買収した。
リダイレクトの事態がわかったのは、『The Register』の読者、リチャードDからの連絡によるもので、使用しているMycheckfree.comのアカウントにログインしようとすると、偽のSSL証明書を受け取ったというものだ。
リダイレクトが自分のPCだけの問題か確認するため、リチャードDは別の場所のサーバを使用したが、やはり別のサイトへマッピングされていた。また、マッピング先は91.203.92.63であったことを確認している。
『The Register』によると、91.203.92.63は長期にわたり、オンライン犯罪を行うために使用されているらしい。このIPアドレスでは、ボットネットを運営したり、サイトにアクセスするとマルウェアをダウンロードする"ドライブ・バイ・ダウンロード"を行っている。
他にも、オンラインで口座から支払いを行おうとして、"無効のセキュリティ証明書だ"とのエラーメッセージを受けたユーザが、やはり91.203.92.63のアドレスにリダイレクトされていることを確認している。米国の金融機関のWebサイトで支払いを行おうとしているのに、91.203.92.63はウクライナでホスティングされているとして不審に思ったものだ。
●被害を最小限に抑えた早急な対処
e-mailでの問い合わせに対し、「攻撃が行われている間にサイトにアクセスしたユーザは、空白のページにリダイレクトされた。そして、そこでマルウェアをダウンロードしようとした」とCheckFreeのスポークスパーソン、メラニー M. トリーは説明している。事態がわかったのは12月2日の早朝だったらしい。
CheckFreeでは、東部標準時間の午前5時にはリダイレクトの状況を修正。さらに午前10時にはISPがこのリダイレクト先のサイトへの接続を遮断した。これで利用者はリダイレクト先に送られる危険は全くなくなったことになった。数時間以内に迅速に問題を修正することはできたようだし、事件が起こったのは東部時間の早朝であったことから、全米での被害は小さかったと見てよいだろう。
e-mailでの問い合わせに対する回答は、事件から3日後の、12月5日に受信した。その中で、トリーは、CheckFreeのWebサイトが正常に、またセキュアに稼動しているとして、システムは完全に回復していることを明らかにしている。事件を受けて、『The Register』などが、詳細について尋ねているが、現在も、専門家が分析中として、明らかにされなかったようだ。
利用者の被害については、「セキュリティソフトの更新状況や使用しているブラウザによる」とトリーは説明している。最新のセキュリティソフトを使用しているユーザなら、マルウェアをダウンロードしているとの警告が表示、"検疫"も行ったはずだ。一方、ウィルスソフトが更新されていなかった場合は、マルウェアがインストールされた可能性がある。
また、CheckFreeでは、積極的なアウトリーチ計画を採用して、被害を受けたユーザのPCを調べ、なんらかのマルウェアに感染している場合は、駆除するために手を差し伸べている。さらにスタッフが、ハイジャックされている間にサイトにアクセスしたと思われるユーザに連絡して警告を行い、被害を受けたユーザには無料のMcAfeeのウィルス対策ソフトと、個人情報盗難向け信用監視サービスを提供している。
事件に関するCheckFreeからの回答は概要だけで、攻撃方法などの詳細については触れていない。ただし、『Washington Post』のブライアン・クレブズがブログで書いており、その中で、トレンドマイクロ社のセキュリティ研究員、ポールファーガソンからの、「マルウェアは新しいタイプのユーザ名やパスワードを盗むトロイの木馬であった」とのコメントを紹介している。
McAfeeのウィルス対策ソフトが提供されたというから、感染の可能性が分かっているユーザについては、面倒であっても対応措置さえ採っていれば、被害は最小限と期待できるだろう。キーロガータイプのトロイの木馬は、感染に気付かず、ユーザがインターネットバンキングなどを利用すると、大切なログイン情報が盗まれ、さらにはその金融機関の口座から不正に引き出しなどが行われる可能性があるため危険だ。
●ドメイン登録会社からの攻撃
事件の原因についてだが、クレブズは、CheckFreeのWebホスティングをしているNetwork Solutionsのシステムから、アカウント情報の変更を行うために必要なユーザ名とパスワードが盗まれたことによると書いている。Network Solutionsは、Webホスティング、Webサイトデザイン、eコマースのほか、ドメイン名登録を行っていて、CheckFreeもサービスを利用している。
クレブズは12月3日、Network Soluionsのスポークスパーソン、スーザン・ウェイドから、何者かが12月2日深夜0時30分ごろに、システムでCheckFreeのDNSサーバのアドレスを変更。その結果、CheckFreeのWebサイトにアクセスしたユーザは、ウクライナのアドレスにリダイレクトされることになったことを確認している。ただし、ハッキングなどの手段によってサーバに侵入したのではないことを強調していることから、犯人はCheckFreeのアカウント管理のための情報を何らかの方法で取得していたと予測している。
クレブズはさらに12月6日、事件の続報をまとめている。情報が漏えいしたのは、CheckFreeの従業員のPCが…
【執筆:バンクーバー新報 西川桂子】
──
※ この記事は Scan購読会員向け記事をダイジェスト掲載しました
購読会員登録案内
http://www.ns-research.jp/cgi-bin/ct/p.cgi?m-sc_netsec
《ScanNetSecurity》