今週のお役立ち情報
【セキュリティ魂】日本の企業ドメインも売買!盗まれたFTP情報 闇取引の実態
2008年04月21日10時00分 / 提供:ネットセキュリティ
盗まれたFTPログイン情報が闇取引されていることが明らかにされた。その中には、日本の企業ドメインも含まれている。
2月末、米国カリフォルニア州に本社があるセキュリティ企業のFinjan社が、「Finjan Uncovers More than 8,700 FTP Server Credentials」というタイトルのプレスリリースを流した。これは、Finjan社のMalicious Code Research Center (MCRC) が毎月発表する「Malicious Page of the Month」の2008年2月号に基づいている。MCRCが、全世界8,700のFTPサーバーのログイン情報が売買されていることを発見した、というものだ。Finjan社のCTOであるYuval Ben-Itzhak とのメールでのインタビューの模様を交えてレポートを紹介する。
Finjan社がこのレポートを作成するきっかけとなったのは、「悪意がある」と判断されたURL、meoryprof.info (me-or-you-profit「俺かお前の利益の情報」の意味)が、政府関連URL内部で検知されたことをきっかけとしている。
MCRCがさらに調査してみると、この悪意のあるURLは、Neospolitという複数のユーザー(攻撃者)がリモートから使用できるように設定されている Software as a Service(SaaS)であることが判明した。この場合のSoftware as a Serviceとは、攻撃用アプリケーション、攻撃に必要な情報や攻撃対象、アプリケーションの使用権利などをパッケージにして販売するもの。この発見されたURLにも、サービスと共にバックエンドにFTPのログイン情報を売買するアプリケーションが見つかっていた。
NeoSploitは、2007年の初頭に発見され、最近ポピュラーになってきている攻撃用CGIスクリプトで、"grabarz"によってC言語でプログラムされている。ストリート価格は1,500ドルから3,000ドルと言われている。
攻撃者、つまりユーザーは、NeoSploitの自分のアカウントにログインし、用意された8,700の盗難されたFTPのアドレス、ログインIDとパスワードを選んで購入し、そのFTPのアカウントにあるwebpageのindexに自動的にiFrameのタグを挿入するようになっているほか、任意のファイルをそのFTPにアップロードすることもできる。
売買用インターフェイスでは、どの国に存在するFTPか、GoogleのPageRank(tm)で何位になるかなどの情報と照らし合わせて、ログイン情報の価格を決定するようになっていた。インターフェースはロシア語である。
見つかったFTPログイン情報は、Alexa.comによると、トップ100に含まれているドメインが10個ほど、100〜500位にランキングされているドメインが100個ほどあった。Finjan社のCTOである Yuval Ben-Itzhak氏によれば、「どの企業がリストに入っていたかは公開できないが、 製造業、マスコミ、学術関連、IT、政府、金融などあらゆる企業が含まれており、2,300が米国の企業、日本の企業(*.jp)も全部で4ドメイン見つかっている」という。売買用インターフェースは、ユーザー(攻撃者)がURLの国、ランキングなどクリックしながら選んで買えるように設定されている。
一度サービスを購入したユーザー(攻撃者)のアカウントからは、ユーザー(攻撃者)が設定した悪意のあるプログラムにアクセスしている被害者の数、現在までのクライムウエア(犯罪目的のソフトウエア)のダウンロード数、すでにダウンロードされたクライム・ウエアで、きちんと連絡がとれた数、などが一覧できるようになっている他、図のように、リンクをたどると、iFrameの実際のコード、トロイの木馬のプログラムなどがダウンロードできるようになっている。
https://www.netsecurity.ne.jp/images/article/080304_finjan.jpg
昨今、正規のウエブサイトにiFrameを仕込んで、トロイの木馬をダウンロードさせる攻撃が多数見つかっているが、今回のFinjan社の発見により、これが「攻撃サービス」として売買され、サービスを購入した攻撃者によって管理、運営されている攻撃ベクターであることが分かった。
米国のURLが2,300というのに比べれば日本の4つというのは少ないかもしれないが、万が一ログイン情報が盗まれると、企業データの漏洩につながるだけでなく、さらなる攻撃のプラットフォームとして悪用されることを考えると怖いものである。Finjan社のCTOであるYuval Ben-Itzhak氏も「パスワードを頻繁に変更すること」という基本的対策を行うことをすすめている。
関連リンク
・Finjan社プレスリリース
■こちらもオススメ!【セキュリティ魂】
・もはや海外では当たり前!携帯電話のウイルス対策とは?
・ハッカーショーをテレビ番組が放映「盗難してくれてありがとう」
・Wiiクラッキング コンセプト実証ながら話題沸騰
・日本の証券システムは世界どころかアジアの中でも遅れている
・海外が指摘する“原田ウイルス作成者逮捕”の舞台裏
・【セキュリティ魂】バックナンバー
2月末、米国カリフォルニア州に本社があるセキュリティ企業のFinjan社が、「Finjan Uncovers More than 8,700 FTP Server Credentials」というタイトルのプレスリリースを流した。これは、Finjan社のMalicious Code Research Center (MCRC) が毎月発表する「Malicious Page of the Month」の2008年2月号に基づいている。MCRCが、全世界8,700のFTPサーバーのログイン情報が売買されていることを発見した、というものだ。Finjan社のCTOであるYuval Ben-Itzhak とのメールでのインタビューの模様を交えてレポートを紹介する。
Finjan社がこのレポートを作成するきっかけとなったのは、「悪意がある」と判断されたURL、meoryprof.info (me-or-you-profit「俺かお前の利益の情報」の意味)が、政府関連URL内部で検知されたことをきっかけとしている。
MCRCがさらに調査してみると、この悪意のあるURLは、Neospolitという複数のユーザー(攻撃者)がリモートから使用できるように設定されている Software as a Service(SaaS)であることが判明した。この場合のSoftware as a Serviceとは、攻撃用アプリケーション、攻撃に必要な情報や攻撃対象、アプリケーションの使用権利などをパッケージにして販売するもの。この発見されたURLにも、サービスと共にバックエンドにFTPのログイン情報を売買するアプリケーションが見つかっていた。
NeoSploitは、2007年の初頭に発見され、最近ポピュラーになってきている攻撃用CGIスクリプトで、"grabarz"によってC言語でプログラムされている。ストリート価格は1,500ドルから3,000ドルと言われている。
攻撃者、つまりユーザーは、NeoSploitの自分のアカウントにログインし、用意された8,700の盗難されたFTPのアドレス、ログインIDとパスワードを選んで購入し、そのFTPのアカウントにあるwebpageのindexに自動的にiFrameのタグを挿入するようになっているほか、任意のファイルをそのFTPにアップロードすることもできる。
売買用インターフェイスでは、どの国に存在するFTPか、GoogleのPageRank(tm)で何位になるかなどの情報と照らし合わせて、ログイン情報の価格を決定するようになっていた。インターフェースはロシア語である。
見つかったFTPログイン情報は、Alexa.comによると、トップ100に含まれているドメインが10個ほど、100〜500位にランキングされているドメインが100個ほどあった。Finjan社のCTOである Yuval Ben-Itzhak氏によれば、「どの企業がリストに入っていたかは公開できないが、 製造業、マスコミ、学術関連、IT、政府、金融などあらゆる企業が含まれており、2,300が米国の企業、日本の企業(*.jp)も全部で4ドメイン見つかっている」という。売買用インターフェースは、ユーザー(攻撃者)がURLの国、ランキングなどクリックしながら選んで買えるように設定されている。
一度サービスを購入したユーザー(攻撃者)のアカウントからは、ユーザー(攻撃者)が設定した悪意のあるプログラムにアクセスしている被害者の数、現在までのクライムウエア(犯罪目的のソフトウエア)のダウンロード数、すでにダウンロードされたクライム・ウエアで、きちんと連絡がとれた数、などが一覧できるようになっている他、図のように、リンクをたどると、iFrameの実際のコード、トロイの木馬のプログラムなどがダウンロードできるようになっている。
https://www.netsecurity.ne.jp/images/article/080304_finjan.jpg
昨今、正規のウエブサイトにiFrameを仕込んで、トロイの木馬をダウンロードさせる攻撃が多数見つかっているが、今回のFinjan社の発見により、これが「攻撃サービス」として売買され、サービスを購入した攻撃者によって管理、運営されている攻撃ベクターであることが分かった。
米国のURLが2,300というのに比べれば日本の4つというのは少ないかもしれないが、万が一ログイン情報が盗まれると、企業データの漏洩につながるだけでなく、さらなる攻撃のプラットフォームとして悪用されることを考えると怖いものである。Finjan社のCTOであるYuval Ben-Itzhak氏も「パスワードを頻繁に変更すること」という基本的対策を行うことをすすめている。
関連リンク
・Finjan社プレスリリース
■こちらもオススメ!【セキュリティ魂】
・もはや海外では当たり前!携帯電話のウイルス対策とは?
・ハッカーショーをテレビ番組が放映「盗難してくれてありがとう」
・Wiiクラッキング コンセプト実証ながら話題沸騰
・日本の証券システムは世界どころかアジアの中でも遅れている
・海外が指摘する“原田ウイルス作成者逮捕”の舞台裏
・【セキュリティ魂】バックナンバー
コメントするにはログインが必要です
Ads by Google
前後の記事
- スパム防止ツールのMollom、Akismetの強力ライバルになるか? TechCrunch Japanese 21日15時08分
- 【セキュリティ魂】日本の企業ドメインも売買!盗まれたFTP情報 闇取引の実態
ネットセキュリティ 21日10時00分
- セキュリティホール情報<2008/04/18> ネットセキュリティ 18日16時30分
- G DATA、インターネットを使ったデータ窃盗についての近況をレポート ネットセキュリティ 18日16時30分
- IPA、“SQLインジェクション脆弱性”の検出ツール「iLogScanner」を公開
ITアクセスランキング
- 1
- PS3にWindows Vistaをインストールして起動してみたムービー GIGAZINE 12日16時13分
- 2
- 「iPhone 3G」ネットワーク環境問題、高まる不満の声にアップル側は沈黙 CNET Japan 12日11時50分
(2)
- 3
- 履歴書に絶対書いてはいけない10個のウソ GIGAZINE 12日10時26分
- 4
- 雷が落ちる様子をスローモーションでとらえたムービー GIGAZINE 13日08時11分
- 5
- 【知っ得!虎の巻】ログオンパスワードを忘れたときのために備えよう
- 6
- 過激な「引き算」が進行するノートPC市場?/金森 努 INSIGHT NOW! 13日07時15分
- 7
- ケータイは何のための道具?――10代は“メール”、30代後半は“通話”がトップに ITmedia 13日07時00分
- 8
- 低価格ノートパソコンが空前のブーム、年内にシェア5割達成へ GIGAZINE 12日12時09分
- 9
- 世界を巻き込むGmailの障害 TechCrunch Japanese 12日07時49分
- 10
- 北京オリンピック開会式の花火による「巨人の足跡」は本当にCGだったのかどうかを検証してみた GIGAZINE 12日15時23分
注目の情報
アメックスのカードは充実した人生を、心から楽しむ人の一枚。
旅や日常に存在するストレスや手間を取り除いてくれる心強い
サービスたちが、このうえない心地よさを届けてくれます。
あなたの世界が広がっていく。