エクスクルーシブ・ハッカーズが、オーストラリアのPOS(販売時点情報管理)技術企業H&Lオーストラリアをハッキングし、顧客データベースを盗み出したと主張している。彼らは2ヶ月以上前から、同社のデータベースを2万2000豪ドル(約16,580米ドル、約12,723ポンド)で売りに出していた。
もし本当にH&Lがハッキングされていたら、クレジットカード情報や個人情報が危険にさらされる可能性がある。同社の顧客には大手小売業者が数社含まれている。
レジスター紙は、2週間前にH&Lオーストラリアで発生したとされる侵害に関する情報に加え、同社のネットワーク上でアクティブなバックドアとされるものにアクセスするために必要な認証情報と、大規模なSQLデータベースダンプへの公開リンクを受け取った。
私たちは、侵害を受けた企業に支援を提供している CERT Australia に直ちに報告しました。
私たちの情報は、米国に拠点を置く諜報会社ホールド・セキュリティーの創設者、アレックス・ホールデン氏から得たものです。
ホールデン氏は大規模な情報漏洩を公表した実績があり、アンダーグラウンドの犯罪フォーラムへの強力なアクセス権も有している。彼はThe Registerに対し、匿名の2つの組織が「H&Lオーストラリア・データベース」と称するデータベースを売買していたとするチャットルームのやり取りを提供した。
メッセージスレッドは7月18日に4時間近くにわたっており、ハッカーたちは片言ながらも簡潔な英語で会話を交わしている。
二人のやり取りは次の通り。
| 11:23:53 販売者:「http://URL.hlaustralia.com.au。シェルがあります」
11:25:00 購入者はOKですが、管理者のcp(コントロールパネル)とdb(データベース)も必要になります。 11:25:11 買い手は私の仲間がオンラインになったら取引をします ... 14:52:29 シェルhlaustraliaの購入者パスワード 14:52:33 販売者管理者 14:53:46 hlaustralia.com.auのすべてのサイトを1つのサーバーに販売 14:54:21 購入者 良い |
|---|
H&Lのものと思われるシェルとデータベースは、7月27日に27ビットコインで買い手に売却される予定だった。
明らかにバックドアと盗まれたとされるデータベースはその後削除されました。The Registerは、当該の「バックドア」やデータベースにアクセスしたことは一度もありません。
我々はH&Lオーストラリア社に繰り返しコメントを要請しており、最初の要請は9月13日であった。同社は我々の質問に直接回答しなかったが、通信文の中で違反行為については異議を唱えず、関係者に状況を知らせる措置を取っていると示唆した。
盗難があった場合、正確に何が盗まれたのかは不明だが、ホールデン氏は同社から流出したとされる14.1Gバイトのデータベースが流出したことを認識していると主張している。
攻撃者がアップロードした、盗まれたとされるデータベースの難読化されたスクリーンショット。画像:The Register。
侵害されたとされるローカル サーバー データベースには、ダンプされたとされるファイルのスクリーンショットによると、login、mortlock、password、homer16、db name、hnlial_db のフィールドが含まれています。
H&Lの顧客には、オーストラリア全土で約330軒のパブやクラブを運営するベンチャー企業、オーストラリアン・レジャー・アンド・ホスピタリティ・グループ(ALH)が含まれる。
スーパーマーケット大手のウールワースは、ALHの合弁パートナーです。ウールワースとALHは、9月13日に情報漏洩疑惑に関する最初の報道を受け取ったことを確認して以来、度重なるコメント要請に応じませんでした。
AHLパブに設置されたH&Lオーストラリア端末。画像:The Register
強いお酒を飲む時間だ
オーストラリアのパブは客足が多いため、もしこの疑惑が真実であれば、多くの個人の詳細がデータ流出の対象となる可能性がある。
メルボルンの侵入テスト会社Assurance.com.auのディレクター、ニール・ワイズ氏は、潜在的な影響は盗まれたとされるデータベースに含まれる情報によって決まると述べ、POSプラットフォームはロイヤルティプログラムなどの他のシステムにリンクされていることが多く、顧客への影響の範囲が拡大する可能性があると付け加えた。
「どのようなデータにアクセスされたのかは分からないので、これは単に『典型的な』クレジットカード詐欺を可能にするだけかもしれないし、ロイヤルティシステムやその他の関連システムに結び付けられる可能性もある」とワイズ氏は言う。
匿名を条件に話した他のセキュリティ専門家らは、ハッカーらが高額を支払って入手した貴重な情報や、販売時点で詳細が収集されたとされる情報を金銭に換えようとしていると結論付けるのは妥当だと同意している。
ハッカーらが真実を語っているのであれば、データベースを利用して顧客の情報(クレジットカード情報や従業員の個人情報、給与情報など)を盗み出すことができるかもしれないと彼らは言う。ただし、ザ・レジスター紙も、この記事のために連絡を取った専門家も、ハッカーらがインターネットにアップロードしたとされるデータベースのスクリーンショットを見ること以外、合法的にデータベースをダウンロードして調査することはできなかった。
最も古いトリック
申し立てられた侵害が発生した場合、ハッカーはファイルアップロードまたはSQLインジェクションの脆弱性を見つけ、企業のシステムにバックドアを作成した可能性が高い。これはホールデン氏が「最も古典的な手口」と表現する攻撃形式である。
連邦政府のCERTオーストラリアは、この侵害疑惑については直接コメントしていないものの、組織は防御を強化する必要があると述べている。
「中小企業を含むすべての組織は、サイバーセキュリティを日常業務の一部として考慮する必要があります」と、CERTオーストラリアはThe Registerへの声明で述べた。「サイバーセキュリティインシデントに気付いた企業は、CERTオーストラリアに連絡してください。」
連邦政府機関は2014年に、中小企業向けに推奨される情報セキュリティ対策ガイドを公開しました。このアドバイスに従えば、セキュリティ侵害のリスクを大幅に軽減できます。連邦政府の「Stay Smart Online」ウェブサイトのアドバイスと併せて活用することをお勧めします。
Open Web Application Security Project では、トップ 10 リストで最悪の Web アプリケーションの永続的なセキュリティホールとその緩和戦略を説明するセキュリティ アドバイスも提供しています。
Wise 氏は、PoS システムは他の構内ネットワークから分離する必要があると述べています。
「基本的に、会場のネットワーク(ゲスト用ワイヤレス、POS 端末など)を組み合わせることは避けてください」と Wise 氏は言い、機密性の高いオフィス ネットワークをゲスト用ワイヤレスと同じ LAN 上で実行している歯科医の例を挙げました。
「また、簿記やサプライチェーンと連携するシステムがある場合は、それらを保護し、アクセスを厳密に制御するネットワーク セグメントに展開する必要があることにも留意してください。」
ワイズ氏は、PoS ベンダーは、データが同期される大規模なマルチサイト顧客アーキテクチャにおいて、保存時および転送中のデータが保護されるようにする必要がある、と述べています。
ホールデン氏は、ハッカーは最も容易な経路で企業に侵入するだろうと指摘し、今回の侵害疑惑はPOSベンダーがシステムを強化するための警告となるはずだと述べている。
「私の見解では、ほとんどのハッカーは最も抵抗の少ない方法を選び、標準的なツールを使うことが多い」とホールデン氏は言う。
「セキュリティは攻撃者の種類ではなく、攻撃の種類を抑止するべきだと考えています。さらに、インフラにおける悪意のある変更を特定し、データ損失を検知する、より優れた抑止力が必要です。」®
