ハッカー集団「CyberVor」、12 億件のログイン情報を収集

8月 07, 2014 Sophos Press Release

※この記事は本社サイト 「Naked Security」掲載の記事を翻訳したものです※
by John Hawes on August 6, 2014
この記事に関する最新の更新情報は Naked Security 掲載記事をご確認ください。

SQL インジェクションの手法により 42 万以上の Web サイトがハッカー集団に侵害され、12 億件の一意のユーザー名とパスワードのペアを含む膨大なデータが窃取され、収集されています

SQL injecting botnetこれは、セキュリティの監視と評価を行っている Hold Security 社が報告しているデータ漏洩です。同社は昨年、Adobe 社のソースコードの漏洩も発見しています。

研究者は、7 か月にわたってハッカー集団を監視しました。この集団は、ロシア中部の小都市を拠点とし、「10 名程度の互いに面識のある 20 代の若者」であると考えられています。

この集団は、少なくとも 2011 年には活動を開始し、世界中のボットネットに感染したマシンを時間でリースしていました。銀行サイトへのログイン情報を収集するには、通常は大量のスパムを送信して、マルウェアを配布したり感染システムを監視したりします。しかしこの集団は、感染しているホストのユーザーがアクセスしたすべての Web サイトを監視して、SQL インジェクション攻撃に対する脆弱性を調べました。

このようにして脆弱なサイトから漏洩したデータが盗み出され、膨大なデータが蓄積されていったのです。

このキャッシュを Hold Security 社が取得した時点で、収集されたデータ件数は 45 億件にのぼり、その中には 12 億件の一意のログイン情報、および 5 億件の一意の電子メールアドレスが含まれていました。これらのデータは、New York Times 誌の要請で独立系の専門家によって本物であることが確認されたと見られます。

SQL インジェクション攻撃は、Web に接続するシステムを侵害する上で、もっとも一般的な手法の 1 つです。

Web サイトでは、パスワードやクレジットカード情報などの機密情報を含むあらゆるタイプの情報を保存するためにデータベースが使用されます。

これらのデータベースは機密性が高いために公開されず、データベースを使用する Web サイトからしか識別されません。しかし、Web サイトでセキュリティに配慮したコーディングが行われていない場合、攻撃者が Web サイトを介して間接的にデータベースにアクセスすることが可能になります。

今回のデータ漏洩は非常に大規模ですが、攻撃に必要とされるインフラストラクチャと手法は新しいものではないと、SophosLabs の Senior Threat Researcher、James Wyke は述べています。

A large proportion of all the malware families that we see form some sort of botnet. In fact there are relatively few categories of malware that don't.

(引用文日本語訳) 確認されているマルウェアの大部分は、何らかのボットネットを形成しています。ボットネットを形成しないマルウェアのカテゴリは比較的まれです。

Even those that don't are often spread through botnets - CryptoLocker was spread via the Gameover Zeus botnet for example.

さらに、ボットネットを形成しないマルウェアも、ボットネットを介して拡散することがよくあります。たとえば、CryptoLocker は Gameover Zeus ボットネットを介して拡散しました。

Botnets themselves can be extremely large. We estimated that the ZeroAccess botnet managed to infect over 9 million machines and the number of Gameover infections was also in the millions.

ボットネット自体も非常に大規模である場合があります。ソフォスの推定によると、ZeroAccess ボットネットは 900 万台のマシンに感染し、Gameover の感染マシン数も数百万台に上りました。

ボットネットについてさらに理解するには、James と Naked Security の Paul Ducklin による TechKnow ポッドキャストを視聴してください。

音声をダウンロード
SoundCloud で視聴

データのキャッシュを発見した研究者は、今回漏洩したのは「おそらく過去最大級のデータ」であると述べています。

当然のことながら、期限切れのログイン情報や使い捨ての情報も含まれるために、データの件数が膨れ上がっていると考えられます。しかし、パスワードセキュリティの一般的な状況を考慮すると、かなり多くの人々がこのハッカー集団によるデータ収集によってリスクを負っていると考えられます。

現時点では、Hold Security 社が「CyberVor」 (vor はロシア語で泥棒を指す) と呼ぶこのハッカー集団は、主としてソーシャルネットワークのスパムサービスを提供するためにデータを使用していますが、今後アカウントのハイジャックやなりすましに使用される可能性もあります。

また、広範なサイトから大量のデータが漏洩したことを考慮すると、ユーザー名、パスワード、電子メールアドレスだけでなく、社会保障番号やクレジットカード情報などのデータも漏洩したものと考えられます。

研究者は、脆弱なサイトを調査してそのオーナーに通知し、セキュリティの強化を促しているとのことですが、50 万近いサイトが対象となるために、この作業には時間がかかると思われます。

また、ユーザー自身がパスワードのデータセットをチェックして侵害されていないかどうかを確認するための安全な方法を提供すべく、作業が進められています。

Hold Security is proud to announce that we will be providing full electronic identity monitoring service to all the individuals within the next 60 days.

(引用文日本語訳) Hold Security では、60 日以内に個人ユーザー向けの包括的な電子個人情報監視サービスを提供する予定です。

これは、このタイプの侵害では異例の対応であると、SophosLab の Principal Virus Researcher、Vanja Svajcer は述べています。

This is quite an unusual approach to remediating an alleged major credentials compromise. For a long time the security industry has freely shared information on breaches within its own community.

(引用文日本語訳) 大規模な認証情報の侵害への対応として、これは異例のアプローチです。セキュリティ業界は長年にわたり、コミュニティ内で侵害に関する情報を自由に共有してきました。

Researchers discovering credentials breaches usually help end users either by making the information about compromised accounts public or by working with the company whose servers were compromised ... it is reasonable to expect the company to make the information freely available so everybody can check that none of their email addresses have been compromised.

認証情報の侵害を発見する研究者は通常、侵害されたアカウントに関する情報を公開したり、サーバーが侵害を受けた企業と連携することにより、エンドユーザーを支援します。すべてのユーザーが自分の電子メールアドレスが侵害されていないことをチェックできるように、企業が情報を自由に利用可能にすることを期待するのが妥当です。

60 日間も待てず、侵害の影響を受けるかどうかを今すぐに判断できない場合は、どのように対処すべきでしょうか。

Web サイトのユーザーの場合

現時点では、問題の影響を受けるかどうかを判断する方法はありません。侵害について通知を受けたサイトオーナーが、ユーザーに連絡することが期待されます。

攻撃が成功したサイトは、脆弱性が存在しているために侵害されています。これらのサイトがデータベースのデータに対して適切なセキュリティ対策を講じていなかったと考えるのが賢明です。パスワードが適切に保管されていない場合、強度の高いパスワードを使用してもリスクがあります。

つまり、無作為に選択された膨大な個人情報が侵害されていることから、自分のデータもその中に含まれると考えて行動することをお勧めします。そこで、読者の皆さんには以下の対策をとることをお勧めします。

  • Web サイトのパスワードを変更する。
  • 各 Web サイトで異なるパスワードを使用する。
  • 可能な限り 2 要素認証を使用する。
  • 銀行やソーシャルメディアのアカウントで不審な動きがないかどうかチェックする。

Web サイトのオーナーの場合

ハッカーの関心を引くほどサイトが大規模ではないと考えるオーナーにとって、今回のデータ漏洩によるリスクは大きなものになる可能性があります。

ハッカー集団は、利用度や規模に関係なく、脆弱なサイト標的にしてきました。

幸い、SQL インジェクション攻撃は簡単なコーディングによって容易に回避できます。

Web サイトを運営している場合は、以下の対策をとることをお勧めします。

詳細情報

サーバーでパスワードを安全に格納する方法の詳細は、ソフォスのセキュリティ記事ユーザーのパスワードを安全に保管する方法についてをご覧ください。

Click to read the article...