https://krebsonsecurity.com/2017/11/2nd-breach-at-verticalscope-impacts/#more-41365

カナダのWebサービス大手企業”Verticalscope.com”がサイバー攻撃の被害に遭ったようだ。

Verticalscopeは、車、スポーツ、ペット、テクノロジー等、様々な企業に対してWebサイトやフォーラムの作成、Webマーケティングを行う企業だ。

発生日と発見者

11月2日、Hold Securityの創始者Alex Holdenというセキュリティ研究者によって報告された。

Holden氏は、ダークネット上の闇取引サイトでVerticalscope.comや同企業が管理するホストの、管理画面へのアクセス権を持つアカウント情報が販売されている事を発見した。

発見当初、Holden氏は2016年に同企業で発生した情報漏えいによって流出したアカウント情報が再販されていると思ったようだが、どうやら再度、情報漏えい

が発生していたようだ。

流出したユーザーアカウントの数は、2016年に発生した情報漏えいでは4500万件に対し、今回の情報漏えいでは270万件であると報告されている。前回と比較して小さい規模である事は確かだが、それでも相当数のアカウント情報が流出している。

情報漏えいの原因は”Web Shell"

”Verticalscope.com”からアカウント情報が漏洩した今回のインシデントはなんだったのか。

Holden氏はダークネットでアカウント情報を販売している”侵入者”と連絡を取り、どのように入手したかを示すスクリーンショットを侵入者から受け取った。

どうやらスクリーンショット上では肝心な箇所に”ぼかし”がかかっており、詳細は知り得なかったと報告する。

だが、スクリーンショット画像で伏せられていなかった部分に”Web Shell”を思わせる記載がされていた事を指摘している。

Web Shellとは何か

トレンドマイクロのブログによればWeb Shellとはバックドアである。

WebShell とは、バックドアの一つで、攻撃者が潜入に成功した Webサーバに自由に出入りできるようにする、すなわち「アクセス権の獲得」や「アクセス権の維持」をするために設置するものです。ーートレンドマイクロ

つまり、Web Shellがウェブサイトにインストールされると、攻撃者は遠隔からサイト管理者としてログインし、ファイルのアップロード、削除、ユーザーデータベース情報の窃取をすることが出来るという事だ。

パスワードを使い回すユーザーが”一番の被害者”

このようなユーザーアカウント情報の漏えいで一番被害を被る可能性が高いのは、パスワードを複数のサイトで使いまわしているユーザーである。

A、B、Cの3つのWebサービスで同じパスワードを使用していると、Aで情報漏えい被害が発生するとしよう。

攻撃者は、Aを攻撃して盗み取ったアカウント情報を使って、B、Cのサイトにログインを試みることが多い。

Verticalscope.comは、ディスカッションフォーラムのプラットフォームである。

GmailやFacebookのアカウントのような「個人情報が沢山詰まっているアカウントデータ」と比べると、ディスカッションフォーラム用のアカウントに関する個人情報は少ないと多くのユーザーは考えるだろう。

その事から、「自らのアカウントデータが流出しても、被害は小さい」と考えるのではないだろうか。

しかし、その心理こそがクラッカー達の狙い目である。

パスワードを使いまわさないためには

率直に言えば、パスワード管理アプリを使用する事をおすすめする。

セキュリティ専門家の辻 伸弘氏も、日立ソリューションズの情報セキュリティブログで以下のように語る。

長く複雑なパスワードを暗記しておくのは難しいことです。これは、仕組み、運用で解決するのがよいと僕は思います。大きく二つの方法があり、一つは、手帳や紙にメモしておく方法。もう一つは、パスワード管理ソフトを用いる方法です。ちなみに、僕はパスワード管理ソフトを使っています。ーー辻伸弘氏のインタビューより引用 

辻氏は、手帳や紙にメモする事もお薦めしているが、ネット上からクラッカーがオフラインのメモ帳を読むことは不可能である事が理由のようだ。

だが手帳や紙にメモしている場合は、二段階認証を使うことが出来ないのが欠点だと思う。

更に言えば、いつもメモしている手帳の交換時期だったり、出先で持ち歩いていないケースも考えられる。

その時に便利なのが、クラウドベースのパスワード管理ソフトである。

クラウドベースならば、マスターパスワードを覚えて、二段階認証を設定しておけば、後は出先のどこからでもスマホを使ってパスワードのデータベースにアクセスできる。

個人的にお薦めのパスワード管理ソフト

以下に、私がお薦めしてるクラウドベースのパスワード管理ソフトを紹介する。

• LastPass(無料)
• DashLane(無料)
• 1Password(有料)