セキュリティ専門家らは、ブリティッシュ・エアウェイズの大規模な情報漏洩の原因について議論しており、同社の決済システムへの外部スクリプトがハッキングの第一容疑者として浮上している。
BAは侵害の原因についてほとんど何も語っておらず、ましてや誰が実行したのかについては言及していない。セキュリティベンダーのRiskIQは、Modernizr JavaScriptライブラリの改変版を介して、同航空会社の支払いページに悪意のあるコードが埋め込まれたという説を唱えている。この方法で攻撃を実行するには、ハッカーはJavaScriptファイルのコア機能を損なわずに改変する必要があっただろう。
RiskIQによると、追加されたコードはbaways.comでホストされているサーバーにデータをアップロードした。「この攻撃で使用されたインフラはブリティッシュ・エアウェイズのみを念頭に置いて構築されており、通常の決済処理に紛れ込むスクリプトを意図的に標的にすることで検出を回避していました」と、同社はブログ記事で述べている。「ドメインはルーマニアにある89.47.162.248でホストされていましたが、実際にはリトアニアに拠点を置くTime4VPSというVPSプロバイダーの一部です。攻撃者はサーバーにSSL証明書もインストールしていました。」
リスクIQは、疑わしいコードはBAの手荷物受取情報ページからロードされたと主張した。
ウェブアプリ上の情報窃取スクリプトはモバイルアプリにも複製されていました。ハッキングに使用された手法と戦術に基づき、セキュリティ企業は、Magecartと呼ばれるハッカー集団によるものと結論付けました。Magecartは2015年から活動しており、先日のTicketmasterへの情報漏洩事件でも非難されています。RiskIQによると、以下の通りです。
Magecartは、ブリティッシュ・エアウェイズのウェブサイトに紛れ込み、可能な限り長期間にわたり検出を逃れるために、カスタムの標的型インフラストラクチャを構築しました。攻撃者がブリティッシュ・エアウェイズのサーバーにどの程度アクセスしていたかは定かではありませんが、サイトのリソースを変更できたという事実は、アクセスが相当なものであったことを物語っています。
![BA の疑わしいスクリプト [出典: RiskIQ ブログ投稿]](https://image.brawte.com/anejbkmn/e5/78/ba_suspicious_script.webp)
BAウェブサイトにMagecartによって追加されたと思われる疑わしいスクリプトタグ。写真:RisqIQ
![BA攻撃スクリプト [出典: RiskIQブログ投稿]](https://image.brawte.com/anejbkmn/25/5f/ba_attack_script.webp)
BAの攻撃スクリプトとされる詳細。写真:RisqIQ
クレジットカードスキミングを行うこのグループは、これまでも人気のサードパーティ製スクリプトを改ざんし、数百ものウェブサイトに一度にアクセスできることを専門としてきた。BBCへのハッキングはより標的を絞ったものだったが、RiskIQによると、このグループの特徴は明らかだった。
支払いページ: スクリプトに従う
この問題は、支払いページで外部スクリプトを実行することと、これが PCI 非準拠のリスクとなるかどうかについて、セキュリティ専門家の間で議論を引き起こしました。
アイルランド初の CSIRT を設立し、率いた情報セキュリティ コンサルタントの Brian Honan 氏は、次のように述べています。
iFrame 経由でサードパーティのスクリプトが原因である場合、PCI DSS の観点から、特定の管理策を講じる必要があります。BA サイトにアクセスできないため、それらの管理策が実施されていたかどうかは判断できません。つまり、PCI DSS の下では iFrame とサードパーティのスクリプトを使用することは可能ですが、PCI DSS のガイドラインに従ってセキュリティを確保する必要があります。
サリー大学のアラン・ウッドワード教授は、最近のチケットマスターのセキュリティ侵害の中心はサードパーティ製のスクリプトだったと指摘し、開発者に対し、このような行為を避けるよう強く求めた。
「問題があります。というか、問題になるかもしれません。もし7つのドメインのサプライヤーのいずれかが侵害を受けていた場合、そのファイルが改変され、入力時にクレジットカード情報を取得するスクリプトが仕込まれていた可能性があります。」
「だからこそ、PCI では、コンプライアンスは支払い処理ページで必要なソフトウェアのみを使用することに依存すべきだとしているのです」とウッドワード氏は付け加えた。
エル・レグはBAに対し、リスクIQの分析結果(BAのウェブサイトに掲載されたスクリプトのスキャンデータを同時期に収集し、時系列で分析したもの)について反論する機会を提供した。BAはこれを拒否した。「これは刑事捜査であるため、憶測についてはコメントできません」と広報担当者は述べた。
BAの支払いページは依然として7つの外部ドメインからコンテンツを読み込みます。クラウドベースの自動化企業UBIOの最高経営責任者であるマーカス・グリーンウッド氏は、これらの様々な分析、顧客サービス、テストツールは支払いページから遠ざけるべきだと主張しました。
「重要なのは、決済カード入力欄が『iframe』で隔離されていないことです」と、同航空会社が依然として攻撃に対して脆弱である可能性を検証したブログ記事で述べた。「これは問題です。なぜなら、読み込まれたJavaScriptファイルなら誰でも簡単にカード情報を盗み、別のサードパーティドメインに投稿できるからです」と同氏は述べ、決済ページでは同社自身が所有する外部ドメインのものも含め、サードパーティのスクリプトがホストされていると指摘した。
BAは先週、8月21日から9月5日の間に、38万人の顧客の個人情報と決済カード情報が自社のウェブサイトから盗み出されたことを認めた。同社は金曜日、匿名のセキュリティパートナーがこの情報漏洩を検知し、すでに解決済みであると発表した。
セキュリティ研究者のムスタファ・アルバサム氏は、BAが自身のプライバシー侵害申し立てへの対応として、ウェブサイトに読み込まれるサードパーティ製のJavaScriptコードを変更したと述べた。この変更は、侵害発生の1ヶ月前のみに適用され、予約ページにおけるサードパーティ製の広告やトラッカー(LinkedIn、Twitter、DoubleClickなど)の掲載に関連していた。
アル・バサム氏は、変更前は、一時的に広告ブロッカーを無効にするか、航空会社のサイトに対して特別な例外を設けない限り、BAから航空券を購入することは不可能だったと不満を述べた。
グリーンウッド氏は、これらの変更と侵害後の修復後も、BAのサイトは安全ではなかったと主張した(9月7日金曜日時点)。
El RegはBAに対し、この件に加え、侵害の原因に関するコメントを改めて要請しました。まだ回答は得られていませんが、新たな情報が入り次第、この記事を更新します。®
