ロサンゼルス・タイムズのウェブサイトは、ハッカーがウェブページにマイニングコードを忍び込ませた後、数日間、訪問者のウェブブラウザとパソコンを使用して静かに暗号通貨をマイニングしていた。
同新聞社の IT スタッフは、少なくとも 1 つの同紙の Amazon Web Services S3 クラウド ストレージ バケットをインターネット上の誰でも自由に変更、更新、改ざんできる状態に放置していた。
悪意のある人物は、このセキュリティ上の失態につけ込み、CoinHive の Monero マイニング JavaScript コードを LA Times のインタラクティブな郡の殺人事件マップ (homicide.latimes.com) に忍び込ませました。
このサイトを訪れた人は、アンチウイルスソフトや広告ブロッカーをインストールしてスクリプトの読み込みをブロックしない限り、意図せずしてコードを挿入した人物のためにアルトコインの作成を始めてしまいます。この特定のコイン作成スクリプトは、2月9日からウェブサイト上に隠されたままでした。
今のところ、バケットが保護されるまで、その Web サイトや LA Times の他のオンライン プロパティを避けるのが得策でしょう。パスワード スニファーやドライブバイ マルウェア インストーラーなど、マイナーよりも悪質なソフトウェアがアップロードされ、挿入される可能性があります。
隠された仮想通貨マイナーを埋め込んだ悪党だけが、新聞社の誰でも書き込み可能なS3バケットを発見したわけではない。他の者たちも、脆弱なクラウドストレージに「BugDisclosure.txt」というファイル名の警告文を残し、技術者にアカウントのセキュリティ保護を促していた。
このバケットは、日刊紙のウェブサイト用のグラフィックやその他の資料をホストするために使用されています。管理者は、このサイロの読み取り権限を開放しただけでなく、グローバル書き込み権限も有効にしていたようです。つまり、誰でも簡単に侵入し、コードやその他のファイルを新聞社のウェブサイトに挿入できる状態です。
当然のことながら、すぐに誰かがまさにそれを実行しました。殺人マップ内の無害なコードの上に悪意のある JavaScript コードが配置されているのが見つかりました。
台本外…LAタイムズのウェブサイトで発見された不正なコード
LAタイムズ紙にコメントを求めましたが、広報担当者からの回答はすぐには得られませんでした。この種のクリプトジャッキング攻撃を追跡している情報セキュリティ研究者のトロイ・マーシュ氏も本日、タイムズ紙に連絡を取りましたが、返答はないとのことでした。また、このマイニング活動についてはCoinHiveにも報告しました。
これは、不適切に設定されたS3ストレージビンによってビジネスが危険にさらされた最初の事例ではありません。セキュリティ研究者たちは、不適切に設定されたAWSバケットをインターネット上でくまなく探すという家内工業的な取り組みを行っており、その結果、数百万件ものレコードや個人情報が偶発的に漏洩する事態が発生しています。
今週、専門家らは、心配する必要があるのは世界中で読み取り可能なサイロだけではない、世界で書き込み可能なサイロでは、悪意のある人物が Web サイトにマルウェアを注入したり、文書を暗号化して身代金を要求するなどできることを警告しました。
安全でない、誰でも書き込み可能なバケットについて IT 管理者に警告する数百件の警告メモが、グレーハットハッカーのせいで最近 S3 サイロに現れました。
問題は公開されているS3バケットだけではありません。これもあります。まさに火花散るのを待っている花火の袋です(オープン状態のMongoDBインスタンスに何が起こったかはこちらをご覧ください)。
— ケビン・ボーモント (@GossiTheDog) 2018年2月20日
言うまでもなく、S3ストレージバケットを1つ以上管理している場合は、アクセス制御(読み取りと書き込みの両方)が適切に設定され、権限のないネットユーザーによるアクセスを遮断できるよう、今すぐ確認することをお勧めします。Amazonは、こうした問題を防ぐためのツールを提供しています。S3サイロは、デフォルトではパブリックインターネットからアクセスできません。®
UTC 00:56 に更新して追加しました
CoinHive のコードは LA Times のウェブサイトから削除されました。
