データダンプ: 攻撃者によるニッチビジネス

2021.02.02

トピック: データ侵害、データ保護、メールセキュリティ、ネットワークおよびアプリケーションセキュリティ

2021年1月28日、Christine Barry

最近、インターネットセキュリティを調査しているRajshekhar RajahariaはJuspayに対する侵害からのデータをダンプした同じ攻撃者による複数の新しい大規模なデータ侵害を明らかにしました。RajahariaはAmazon、Uber、Swiggy、MakeMyTripなどの小売業者向けの決済処理会社であるJuspayが2020年8月に侵害されたことを発見および報告しました。このデータ侵害には、ユーザ名、カードタイプ、カードを発行した銀行、カードの有効期限、部分的にマスクされていないカード番号など、3500万人の消費者のレコードが特に関与していました。Juspayによると、このデータは、取引に使用できません。Juspayはセキュリティを強化する対策を取りました。

10 Crore Indian Cardholder’s Cards Data Including Name, Mobile, BankName Leaked from @juspay Server. Available for Sell on DarkWeb.

Story – https://t.co/WczIrFeLel #Infosec #DataLeak #DataBreach #infosecurity #CyberSecurity #GDPR #DataSecurity #Banks #CreditCard #dataprotection pic.twitter.com/X1KYcP8WSh

— Rajshekhar Rajaharia (@rajaharia) January 3, 2021

ラジャハリアが明らかにした他のインシデントには、Chqbook、Big Basketなどが関与しています。このようなデータベースは2020年8月までの情報を含んでおり、データはダークウェブ上で販売されていました。ラジャハリアは漏洩したデータの一部が本物であることを確認しています。

Same hacker who was selling @JusPay DB now selling DBs of more Indian companies on Dark Web. @clickindia – 8Mn @chqbook – 1Mn @wedmegood – 1.3Mn. Same Hacker also selling @bigbasket_com too. May be a strong connection between all these recent data leaks. #InfoSec #DataLeak #GDPR pic.twitter.com/zs0mA7NjLR

— Rajshekhar Rajaharia (@rajaharia) January 6, 2021

攻撃者によるニッチビジネス

データ侵害とデータダンプは、まったく新しくありません。最初の大規模なデータ侵害は2004年に報告され、AOL（America Online）の従業員が9,200万人の顧客アカウントの画面名、郵便番号、電話番号、およびクレジットカードタイプを盗み出しました。しかし、このデータは正確にはダンプされたわけではありません。レコードは、スパマーに売却され、他のスパマーに何度も転売されました。データは最終的には情報提供者に売却され、スパマーのうち2人は最終的には米国連邦政府の新しいスパム対策法に基づいて起訴されました。AOLのインシデントでは、攻撃者であるハッカーとスパマーにとって、下記の2つが明らかになりました。

法執行機関がサイバー犯罪に真剣に取り組んでいたこと。
データが、価値を失う前に、何度も金銭化される可能性があること。

グローバルなダークウェブの台頭は、攻撃者にとって、このような問題の両方で役立ちました。攻撃者は特定しにくくなり、攻撃は別の国から実行される可能性があります。また、犯罪市場によって、攻撃者は潜在的な買い手と簡単に接触および交渉できます。Juspayのデータダンプは、8,000ドルで出品され、最終的には5,000ドルで売却されました。

部分的なレコードの価値

メール、パスワードなどの機密性の高い個人情報を含む最新のデータは攻撃者にとって常に貴重です。しかし、Juspayのデータは何か月も前のものであり、パスワードはなく、クレジットカード情報のほとんどは、ハッシュ関数でマスクされているため、購入に悪用できません。なぜ、このデータに5,000ドルを支払う人がいるのでしょうか。

Rajahariaは、この疑問にも答えています。「カードのハッシュ値は、クラッキングされた場合、2年後も、ダークウェブに漏洩する可能性があります。」このような漏洩はブルートフォースハッキングまたはJuspayの従業員の不注意または不満によって発生する可能性があります。

複数の部分的なデータダンプを組み合わせることもできるため、攻撃者はあるデータダンプの名前とメールアドレスを別のデータダンプの認証情報と照合できます。ハッカーがレコードを組み合わせるために必要なデータは共通する1つのフィールドのみです。2019年のIBMのレポートによると、データ侵害の平均規模は25,575件です。平均的なサイズのデータダンプのレコードの半分しか相互に照合できない場合も、何千ものユーザアカウント、支払いデータなどの機密レコードが侵害される可能性があります。このようなアクセスによって、長期にわたって、個人情報が、悪用され、新しい攻撃者に売却されるため、長年にわたって、個人が損害を受ける可能性があります。

ビジネスの観点

データ侵害を望む企業はありません。データ侵害は、説明が恥ずかしく、消費者、サプライヤ、および従業員との関係に有害です。また、修復、ダウンタイム、コンプライアンスコスト、およびブランドを信用しなくなった将来の顧客からのビジネスの損失を考慮すると、損害が大きいです。ビジネスから盗み出されたデータは、別の企業のデータを盗み出すために、特定のタイプの攻撃で悪用される可能性があります。このため、このような信用の低下は時間とともに増大する可能性があります。データ侵害のよく知られている例はTargetです。攻撃者は、TargetのHVACベンダであるFazio Mechanical Servicesから認証情報を盗み出して、このデータ侵害を実行できました。このような認証情報は、Targetの社内ネットワーク上のWebアプリケーションにアクセスするために、悪用されました。このため、攻撃者はTargetのPOSシステムとデータにアクセスできました。

ベライゾンの2020 DBIR（2020年度データ漏洩/侵害調査報告書）では、データ侵害につながる8つの攻撃が特定されています。

出典: ベライゾンの2020 DBIR（2020年度データ漏洩/侵害調査報告書）

フィッシングと認証情報の盗み出しは依然として上位2つの攻撃ですが、下記の4つが増加しています。

誤配信: ヒューマンエラーによって、データが誤った受信者に送信されること。
誤設定: インターネット資産が、適切に保護されていないため、かったため、侵害されること。
パスワードダンパ: 暗号化されたパスワードをホストコンピュータから盗み出すマルウェア。
ランサムウェア: ファイルを暗号化し、復号化と引き換えに支払いを要求するマルウェア。

データの保護

主要なデータ侵害攻撃は複数の攻撃ベクタを悪用しているため、IT部門はこのような攻撃ベクタを最新の攻撃から常に保護できる必要があります。バラクーダソリューションは、ネットワーク、アプリケーション、およびメール攻撃を防止し、オンプレミスまたはクラウドの企業データを保護します。バラクーダ製品の多くはAzure MarketplaceとAWS Marketplaceで提供されており、無料の30日間の評価機/評価版が提供されています。