8都市のClick2Gov請求書支払いポータルがハッカー攻撃を受ける

2019年9月21日午前8時

この新たな一連の攻撃は、以前のClick2Govハッキングにより30万枚の決済カードが侵害された後に発生した。

2017年と2018年、ハッカーは米国各地の数十都市でClick2Govのセルフサービス式請求書支払いポータルシステムを侵害し、30万枚の決済カードが不正利用され、約200万ドルの収益を得ました。現在、Click2Govシステムは第二波の攻撃を受けており、数万件の記録がダークウェブに流出したと研究者らは木曜日に発表しました。

新たな一連の攻撃は8月に始まり、これまでに8都市のシステムが攻撃を受けており、そのうち6都市は前回の攻撃で侵入されたと、セキュリティ企業Gemini Advisoryの研究者が投稿で述べている。ハッキングされたポータルサイトの多くは最新のシステムで稼働していたため、攻撃者がどのようにして侵入に成功したのかという疑問が生じている。Click2Govは、公共料金や駐車違反切符の支払い、その他様々な取引に利用されている。

「Click2Govへの侵害の第2波は、パッチ適用済みのシステムにもかかわらず、ポータルが依然として脆弱であることを示しています」と、Gemini Advisoryの研究員であるスタス・アルフォロフ氏とクリストファー・トーマス氏は述べている。「したがって、組織は最新のパッチを適用するだけでなく、潜在的な侵害がないか定期的にシステムを監視する必要があります。」

これまでに、今回の一連のハッキングで入手された2万件以上の記録が、オンライン犯罪フォーラムで売りに出されています。今回の侵害は5州の8都市に影響を及ぼしていますが、全50州の人々の決済カードが不正アクセスされています。研究者によると、カード所有者の中には、影響を受けた都市に居住していなくても、過去にこれらの都市を旅行したことがあったか、または所有者がそこに不動産を所有していたため、侵害されたポータルで取引を行った者もいます。ハッキングされたポータルがあった都市は以下のとおりです。

フロリダ州ディアフィールドビーチ
フロリダ州パームベイ
フロリダ州ミルトン
カリフォルニア州ベーカーズフィールド
フロリダ州コーラルスプリングス
アイダホ州ポカテロ
オクラホマ州ブロークンアロー
アイオワ州エイムズ

太字で表示されているものは初めて攻撃を受けたものです。

Click2Gov を販売する CentralSquare Technologies 社の代表者は声明の中で次のように述べている。

最近、お客様のサーバーにおいて、一部の消費者クレジットカード情報が不正または悪意のある攻撃者によってアクセスされた可能性があるという報告を受けました。これらのセキュリティ問題は、特定の町や都市でのみ発生していることにご注意ください。当社は直ちに徹底的なフォレンジック分析を実施し、この特定のソフトウェアをご利用のすべてのお客様に連絡を取り、システムの最新化と保護の維持に尽力しています。現時点では、不正アクセスを報告されたお客様はごく少数です。

セキュリティ企業FireEyeの2018年9月の投稿によると、初期の攻撃は通常、攻撃者がハッキングしたClick2Govウェブサーバーにウェブシェルをアップロードすることから始まります。このウェブシェルはシステムをデバッグモードにし、ペイメントカードのデータをプレーンテキストファイルに書き込みます。その後、攻撃者は2つのカスタムツールをアップロードします。FireEyeが「Firealarm」と呼ぶツールは、ログを解析し、ペイメントカードのデータを取得し、エラーメッセージを含まないログエントリを削除します。もう1つの「Spotlight」と呼ばれるツールは、HTTPネットワークトラフィックからペイメントカードのデータを傍受します。

「攻撃者がClick2Govウェブサーバーをどのように侵害したかは不明だが、CVE-2017-3248、CVE-2017-3506、CVE-2017-10271など、Oracle Web Logicを標的としたエクスプロイトを使用した可能性が高い。これにより、任意のファイルをアップロードしたり、リモートアクセスを実行したりする機能が提供された」とFireEyeの投稿は、以前の一連のハッキングに言及して述べている。

Click2Gov システムで取引を行った人は、今後数週間にわたって定期的に支払いカードの明細書を確認する必要があります。

このストーリーはもともと Ars Technica に掲載されました。

WIREDのその他の素晴らしい記事