悪意のある人物が、正規の Web サイトを装って被害者の個人情報や金銭を盗む Web ページを作成するために使用する専用のフィッシング キットには、他の悪意のある人物が盗んだばかりのデータを盗むために悪用される可能性のある脆弱性が潜んでいます。
これは、ほんの数時間前に宝石店から奪った金品を盗むためにマフィアの隠れ家に押し入った強盗とそれほど変わりません。
犯罪者が犯罪者のために開発したソフトウェアにバグがあり、悪用される可能性があることは珍しくありませんが、今週、クライムウェアの脆弱性を研究しているアカマイの研究者から、そうした欠陥の証拠が発表されました。彼らは、フィッシングキットのインストールに脆弱性を発見し、他のハッカーが侵入して操作を乗っ取ることが可能になったのです。
フィッシング キットは通常、犯罪者が購入または入手して、銀行などの正当な Web サイトとまったく同じように見え、機能するように設計された Web ページを作成し、標的を騙してユーザー名とパスワードを入力してログインさせたり、運転免許証やパスポートのスキャンなどの個人情報を渡させたりします。
これらの偽のウェブページは、サイバー犯罪の戦利品を収集し、それを管理者に渡します。通常、ハッキングされたウェブサイトにしばらくインストールされ、フィッシングメールとしてリンクがスパム送信され、被害者に送信されます。詐欺師にとって重要なのは、メールやウェブページが可能な限り本物らしく見えることです。
Akamai のシニアセキュリティ研究者であるラリー・キャッシュダラー氏は、同僚で研究者でもあるスティーブ・レーガン氏の協力を得て、多くのフィッシングキット、特に被害者にファイルのアップロードを促すキットを発見しました。これらのキットには、ハッカーがインストールを乗っ取るために悪用できる典型的なセキュリティ脆弱性が存在します。つまり、これらのフィッシングページをホストするために侵入された中小企業や政府機関などのサイトは、すべてのお誘いメールが送信された後、被害者の情報を盗み取ろうとする日和見的な窃盗犯によって、再びハッキングされる可能性があるということです。
「この状況で本当のリスクと懸念があるのは、被害者、つまり、このようなフィッシングキットがアップロードされているウェブサイトを持つサーバー管理者、ブロガー、中小企業経営者だ」とキャッシュダラー氏は記事の出版に先立ちレジスター紙に共有された調査メモの中で述べた。
「彼らは二度も攻撃を受けているのに、フィッシングキットがもたらす深刻なリスクにまったく気づいていないのです。
Akamai はこれらの脆弱性による二次攻撃が成功したかどうかは確認していませんが、その可能性は十分にあります。フィッシングキットの開発者の多くはアプリケーションセキュリティの知識を有しており、金銭と名声のためにこのようなバグを追いかけています。彼らが自らの利益のためにこのような欠陥を探し出し、発見し、悪用するというのは、決して無理な考えではありません。
ハッカーが高度なフィッシングキットを公開、10分で巧妙なスタッフを騙す
続きを読む
ラガン氏はエル・レグ紙に対し、調査対象となった脆弱なキットは、悪意のある人物が「2つの既知の商業銀行、ファイル保存・共有サービス、そして決済を扱うオンライン企業1社」になりすますために使用されているのが確認されており、少なくともそのうち1社はフィッシングメールを通じて宣伝されていたと語った。
これらのキットは、GitHubリポジトリから盗用された2017年頃の安全でないソースコードを使用してファイルアップロードを実装していました。ユーザーは、これらのウェブフォームを介して、機密文書のスキャンデータなどのデータを詐欺師に渡すように仕向けられていました。しかし、フォームの背後にあるコードにはセキュリティチェックも入力サニタイズも実行されていませんでした。つまり、これらのフォームを介して、フィッシングキットをホストするウェブサーバーにPHPウェブシェルなどのコードをアップロードし、ブラウザで開いて実行することが可能でした。ファイルを開くには、アップロードされたファイルのURLを見つける必要がありますが、これはそれほど難しくありません。
ここまでくれば、フィッシングサイトの環境内で認証やパスワードを必要とせずにコードを実行できるようになり、好きなコマンドやcronでスケジュールされたスクリプトをウェブサーバープロセスとして実行できるようになります。そこから権限昇格を試みたり、フィッシングサイトにアクセスする被害者を盗み見たりすることも可能です。フィッシングページをホストするためにハッキングされたサイトのほとんどはセキュリティが緩いため、こうしたことがすべて可能になります。
「これらの脆弱性はアップロードプロセス中に悪用される可能性があります。このプロセスでは、キットが被害者にIDや銀行カードなどの写真をアップロードするよう要求します」とラガン氏は説明した。「ドメイン上でこれらのキットを見つけてアップロード段階まで進むと、ファイル形式のチェックが行われないため、代わりにシェルを送信できます。」
具体的には、キットには、class.uploader.php、ajax_upload_file.php、ajax_remove_file.php という安全でない PHP スクリプトが含まれていました。
キャッシュダラー氏は研究ノートの中で、「ユーザーは実行コードをウェブルートにアップロードできる。アップロードパスがまだ存在しない場合は、アップローダークラスファイルがそれを作成する」と述べている。
ファイル削除スクリプトのコードは、ユーザー入力の「..」をサニタイズしないため、ディレクトリトラバーサルが可能になり、HTTPdが所有する任意のファイルをシステムから削除できるようになります。コードの複製とコピーは、従来の合法的なアプリケーション開発と同様に、犯罪の世界でも一般的です。
サーバーのセキュリティ設定が強化されることは稀で、ファイルのパーミッションがオープンなままになっていることが多く、ディレクトリへの完全な読み取り・書き込みアクセスが許可されています。この脆弱性を利用してこれらのキットを侵害する攻撃者は、Webサーバーへの新たな足掛かりを得る可能性があります。攻撃者がサーバー全体を乗っ取るには、PHPシェル1つと、cronで実行されるセキュリティが不適切なスクリプト1つだけで十分です。
これを読んでいただく頃には、Akamai がさらに詳しい情報をこちらでオンライン公開しているはずです。®
