更新eBay を訪問したユーザーは、Web サイトがローカルホスト アドレスを使用してユーザーのコンピューターに対してポート スキャンを実行し、マシン上で何が実行されているかを調べていることに気付きました。
詐欺はeBayにとって大きな問題であり、リモートコントロールアクセスポートのスキャンが、ユーザーのコンピュータにログインしてタトゥーバザールでユーザーになりすまそうとする犯罪者を検知しようとするものであるならば、ある程度の価値はあるかもしれない。しかし、セキュリティ研究者のチャールズ・ベルマー氏は、この行為を「明らかに悪意のある」行為と評した。
このスクリプトは、3389(Microsoftリモートデスクトップ)、5931(Ammy Adminリモートデスクトップ)、6333(VNCリモート接続)、7070(realAudioおよびApple QuickTimeストリーミング)など、複数のポートへのWebSocket接続を試みます。このスクリプトはローカルで実行されるため、インターネットに公開されているポートではなく、ローカルネットワーク上で実行されているものをテストします。ポートスキャンスクリプトは常に実行されるわけではありません。Windowsでのみ実行が確認されており、通常は一定期間経過後のeBayへの初回アクセス時のみ実行されます。
eBayまたはそのパートナーであるLexisNexisがコンピュータのポートをスキャンするために使用するスクリプト(クリックして拡大)
開発者のダン・ネメック氏は、ブラウザのデバッグツールを使用して何が起こっているかを追跡したが、JavaScript コードが「ページが読み込まれるたびに再難読化」され、変数名が毎回変わるため、作業がさらに困難になっているとネメック氏は述べた。
しかし、奇妙なことに、すべてのコードが難読化されているわけではないので、スクリプトの作成者が本当に痕跡を隠したかったのであれば、もっとうまくできたはずです。
しかし、Nemec氏はいくつかの興味深い点を発見しました。その一つは、check.jsと呼ばれるスクリプトのソースがsrc.ebay-us.comであり、これはh-ebay.online-metrix.netを指すCNAMEレコードであることです。h-ebay.online-metrix.netは、LexisNexis Risk Solutions傘下のThreatMetrix Incという組織に属しています。
足跡を辿ると…MXToolboxのツールによると、スクリプトはThreatMetrixが所有するonline-metrix.netによって提供されている。
スキャン後、Nemec氏は、ウェブページがThreat Metrixドメインから画像をリクエストし、204コード(「コンテンツなし」を意味する)を返すことを確認した。ペイロードはリクエストに付随する引数に含まれており、復号するとポートスキャンの結果に加え、ユーザーエージェント(ブラウザ識別子)、パブリックIPアドレス、「その他のデータ、シグネチャ、そして私が認識できないもの」などの情報が含まれるとNemec氏は述べた。
レクシスネクシス・リスク・ソリューションズは、ホームページによれば、「リスクを管理し、機会を見つけるための強力なリンク技術」を提供し、顧客にスムーズなオンライン体験を提供しながら詐欺行為を最小限に抑えようとしている企業に対し、「詐欺行為と摩擦の間で綱渡りをしている」企業を支援することを約束している。
同社はホワイトペーパーの中で、「顧客とその連携デバイスに関する十分な『信頼データ』を収集する」方法について説明しており、そのために「デバイスフィンガープリンティングやデバイス間の連携」といった技術を活用しています。これはeBayのスクリプトに使われている技術を直接指しているわけではないかもしれませんが、同社が詐欺防止とデジタルマーケティングの両方のためにデータ収集事業を展開していることは明らかです。
確信を持って:同意なしにポートスキャンするのは合法か違法か、研究者が主張
続きを読む
eBayがVNCなどのサービスを利用してユーザーのコンピュータに接続しようとしているという兆候はありません。eBayが不正行為を検出するためにこの方法を利用している可能性は高いですが、プライバシー、同意、セキュリティに関する多くの問題があります。The Registerは以前、ThreatMetrixの事例を目にしたことがあります。ハリファックス銀行がポートスキャンを実施していたことが発覚した際、この行為は英国のコンピュータ不正使用法に違反していると主張する声もありました。銀行は、ポートスキャンは完全に合法であり、ポートスキャンによって顧客のシステムにおけるマルウェア感染の証拠を掴むことができたと主張しました。
英国ではすでに法律化されているEUの一般データ保護規則(GDPR)は、個人データの収集が合法となる条件を定め、ほとんどの状況で個人に個人データを取得および消去する権利を与える、もう1つの関連法規です。
ウェブブラウザがローカルホスト上で実行されているサービスへのリクエストをどのような状況下で許可すべきかという問題もあります。1年前、ウェブ会議ソフトウェア「Zoom」が、ウェブページからアプリケーションを開くためにローカルウェブサーバーへのリクエストを利用していることが判明しました。その結果、「悪意のある攻撃者は、脆弱性のあるソフトウェアをインストールしているユーザーを、デフォルトでカメラがオンになっている状態で強制的にビデオ通話に参加させることが可能」となりました。
eBay と LexisNexis の両社にコメントを求めました。®
追加更新
eBayは「当社のサイトとサービスにおいて、安全で安心、そして信頼できる体験を提供することに尽力している」と回答しましたが、プライバシーやセキュリティに関する具体的な懸念については回答していません。ポートスキャンスクリプトの目的は詐欺行為の防止であり、悪意のある人物によるリモートコントロールの可能性があるマシンを警告することで対応していると思われます。
