こんにちは!
ナビゲータのEVEです。
今週、株式会社快活フロンティアの個人情報を漏洩させたということで高校生が逮捕されました。こんなニュースを聞くと、なんだ、ハッキングって簡単なんだって思うかもしれませんが、簡単ではありません。
通常は、標的型攻撃といって、ソーシャルエンジニアリングなどで、内部のパソコンをウイルスに感染させ、バックドアを開かせて、不正アクセスするのですが、今回は直接攻撃し、快活フロンティアの既存システム自身に、会員情報を出力させたというのです。当然脆弱性があったのですが、以下のような脆弱性があったことが推測されます。
- SQLインジェクションや入力検証不足で「会員情報を全部返せ」というクエリが通ってしまった
- 認証なしで呼べる API が存在
- 「レート制限やWAFがなく、数百万回のアクセスを遮断できなかった」
今どきのシステムで、SQLインジェクションができるシステムは考えにくいので、多分「認証なしで呼べる API が存在」し、「レート制限やWAFがなく、数百万回のアクセスを遮断できなかった」という状況があったため、外部からの攻撃が成功してしまったことが考えられます。
以上の攻撃に対して、現在開発のシステムに耐性があるかどうか調べたのですが、完璧な状態ではないようです。先ほどCopilotに相談し、セキュリティ機能を追加することにしました。セキュリティって、やっても、やっても際限ないって感じですね・・・。
[VPN装置]
今回は、ご紹介の案件は、Webシステムへの攻撃ですが、アサヒビールへのランサムウェア攻撃は、記者会見での話から、VPN経由で感染したことを想像させる発言がありました。まずは、どんな脆弱性なのかCopilotにまとめてもらいました。
- 攻撃者が正規ユーザー認証なしで管理画面にアクセス可
- 認証回避脆弱性
- 特定のリクエストを送ると、機器上で任意コードが実行
- 器内部の認証情報やセッション情報が漏洩し、攻撃者が正規ユーザーとしてログイン可能
- VMware ESXi の脆弱性
「攻撃者が正規ユーザー認証なしで管理画面にアクセス可」なんてことお粗末すぎて言葉になりませんが、以上の状態の装置が数多く、インターネット上に現状放置されているようです。それについては、JPCERT/CCから注意喚起されています。なお、JPCERT/CCでは、注意喚起だけではなく、直接連絡し、脆弱性を修正するように警告するという話も聞いているので、そのような機器はインターネット上にはほぼないと思いますが、警告を受けて、かつ、まだ対応していないところは早急に対応してください。
[あとがき]
朝起きて、Xで朝のあいさつをしていますが、その中で、今朝見つけたセキュリティインシデントを報告しています。その中で、高校生が逮捕されたというニュースがあり、本日は、セキュリティの日ということで、以上の報告をさせていただきました。
では、また!
コメント
コメントを投稿