犯罪者は銃器の売買に使われるガムツリー風のウェブサイトにハッキングをし、英国中の銃器店で使われているCRM製品からの部分的な情報を含む11万1000件のデータベースを盗み出した。
今週初めに発生した Guntrader の侵害では、Guntrader.uk の売買ウェブサイトと電子銃器店登録製品の両方で利用されている SQL データベースが盗まれました。このデータベースには約 111,000 人のユーザーが登録されており、2016 年から今年 7 月 17 日の間に取得されました。
このデータベースには、氏名、携帯電話番号、メールアドレス、ユーザーの位置情報、そしてbcryptハッシュ化されたパスワードなどが含まれています。これは、Guntraderだけでなく、そのユーザー、つまり英国の銃器ライセンスコミュニティのメンバーにとっても深刻なプライバシー侵害です。
情報セキュリティ企業Coalfireの英国MD、アンドリュー・バラット氏は、RaidForumsのウェブサイトにデータベースが流出した後、それを分析した。彼はThe Register紙にこう語った。「おそらくドライブバイ攻撃だったのではないかと思います。フォーラムに投稿された攻撃者の反応を見ると、全く標的を絞ったものではなく、『またサイトを乗っ取った』という感じで、その後は『おお、すごい』という感じでした。」
Guntraderのハッキングに関するユーザーへの通知メール。クリックして拡大
ガントレーダーの広報担当サイモン・ベースリー氏はザ・レジスター紙に対し、ガントレーダー・UKは7月21日に情報漏洩の影響を受けたユーザー全員に電子メールを送信し、昨日さらに最新情報を発表したと語った。
「情報コミッショナー事務局は、情報漏洩が発覚してから数時間以内に通知を受け、それ以来、当社は同事務局およびその他の関係機関と協力して、Guntraderのユーザーに及ぼす可能性のある影響を軽減するために取り組んでいます。」
ベースリー氏は、本稿執筆時点では、ガントレーダーのウェブサイトにハッキングに関する情報が掲載されていない理由についての質問には答えなかった。
GuntraderはGumtreeとほぼ同じです。ユーザーはウェブサイトに広告と連絡先を掲載し、購入希望者が連絡できるようにします。銃砲店(英国では「登録銃器販売店」またはRFDと呼ばれます)も、Guntraderの統合型銃器登録製品を利用できます。この製品は「エンドツーエンドの暗号化」と「毎日のバックアップ」を提供すると宣伝されており、「今日の市場で最も安全で安心な銃器登録システム」(Guntraderの主張)となっています。
なぜ銃砲店はこれらすべてのデータを記録しているのでしょうか?
英国の銃器法では、銃器の譲渡(売却、修理のための引き渡し、贈与、貸与など)はすべて記録する必要があり、そのほとんどは警察への報告も義務付けられています。これは時間のかかるプロセスであり、特に毎日大量の譲渡を行う銃器店にとっては大きな負担となります。
Guntrader は、自社の Web サイトとも連携する CRM と在庫管理を組み合わせた製品を使用して、面倒な管理面を自動化することを目指しました。
この製品は、警察の銃器免許発行部署に法的に必要なデータを含む自動メールを生成していました。これらのメールは盗まれたデータベースには保存されていないようです。
盗まれたデータベース内のデータのカテゴリは次のとおりです。
- 緯度と経度のデータ
- 名と姓
- RFDの証明書を発行した警察
- 電話番号
- ファックス番号
- bcryptハッシュパスワード
- 郵便番号
- 郵便番号
- ユーザーのIPアドレス
支払いログも含まれており、CoalfireのBarratt氏は、クレジットカード番号は含まれていなかったものの、支払いデータテーブルにSHA-256ハッシュ文字列のようなものが含まれていたと説明しました。その他の支払い情報は、サイトを通じて広告されたライフル銃とショットガンの価格に限られていました。
射撃スポーツウェブサイトに関する報告によると、Guntraderは顧客のウェブサイト上のiframeを侵入経路として特定していたようです。この件について詳細な情報を求めており、Guntraderから回答が得られ次第、この記事を更新します。
- 控訴裁判所、3Dプリントの「ゴーストガン」の設計図のオンライン共有禁止を却下
- 英国内務省:データベースなしで数千の不活性化銃器を登録する
- 武器禁止を逃れるために3Dプリンターで銃を製造した男が8年間クーラーボックスに閉じ込められる
- ロンドン・ガトウィック空港のドローン攻撃を警察が直ちに撃墜しない理由
データベースにはRFDの電子登録簿と警察の異動通知のコピーが含まれていた可能性が高いと思われましたが、バラット氏の分析はそうではないことを示しました。彼はThe Register紙に対し、「抽出されたと思われるCRMテーブルには、そのような対応関係を示す証拠はありません…この製品の仕組みは、取引が発生するとメッセージを生成し、記録を残さずに動的に地元警察に通知するだけではないでしょうか」と述べています。
バラット氏はまた、オンラインで共有されているデータベースのコピーにはマルウェアが混入していると警告し、銃撃犯は自分でデータベースをダウンロードして自分の情報が含まれているかどうか確認しないよう注意を促した(この記事の後半にさらに詳しいアドバイスがある)。
英国射撃・自然保護協会の広報担当副部長、ギャリー・ドゥーラン氏はレジスター紙に対し、「今回の違反行為の全容が明らかになるまでには、しばらく時間がかかるだろう。詳細な調査が完了すれば明らかになるだろうが、このような違反行為が射撃者にとって重大な懸念事項であると判断するためには、調査結果の発表は必要ない」と述べた。
彼はさらにこう付け加えた。「銃の所有者にとって最良のアドバイスは、常に警戒を怠らず、個人と自宅の安全に気を配ることです。BASCは国家犯罪庁と協力し、会員の皆様に最新情報を提供できるよう努めています。何か不審な点に気づいた場合は、直ちに警察に通報してください。」
全米ライフル協会と英国射撃スポーツ評議会はこのハッキングを認識している。
今週、全米ライフル協会(NRA)の年次選手権が開催されているビズリー・キャンプの国立射撃センターで昨日発生したハッキング事件に対する世間の反応は、一部の競技者が個人情報を盗まれたことに気づいたことで、厳しいものとなった。中には平静を装う者もおり、ある選手は本紙に「銃の所有者を怒らせようとしたのか?まさか」と皮肉を言った。
これについてどうすればいいでしょうか?
自分のデータがハッキング対象になっているかどうかを確認するには、「Have I Been Pwned」にアクセスしてメールアドレスを入力してください。HIBPは、Microsoftの地域ディレクターであるTroy Hunt氏が運営する信頼できるリソースです。
銃撃犯の方は、オンラインで様々な場所からデータベースを自分でダウンロードしようとしないでください。既にダウンロード済みの場合は、ファイルを開いたデバイスすべてでウイルス対策ソフトによる完全スキャンを実行してください。スキャンの意味がわからない場合は、技術に詳しい友人や親戚に助けを求めてください。
コールファイア社のバレット氏は、これによって生じる最も重大なセキュリティリスクは窃盗によるものだと述べたが、英国で合法的に所有されている銃器と散弾銃はすべて警察認可の頑丈な金庫に保管されていると指摘し、犯罪者が安全な保管庫に侵入するには「プラズマカッター」が必要だろうと冗談を言った。
Guntraderで他のウェブサイトと同じパスワードを使用している場合は、今すぐ変更してください。犯罪者は、盗んだユーザー名やログイン情報を他の人気ウェブサイト(メールサービス、オンラインバンキングなど)でテストし、それが有効かどうかを確認していることで知られています。
bcryptは情報セキュリティの世界では、解読が遅いパスワード暗号化・ハッシュアルゴリズムとして高く評価されていますが、完全に無敵というわけではありません。特に、漏洩したデータベースにデータが含まれているとされる著名人の場合はなおさらです。®
