ベトナム最大の暗号取引プラットフォームの1つであるONUSは、最近脆弱なLog4jバージョンを実行している決済システムへのサイバー攻撃を受けたことが判明しました。
ベトナム最大の暗号通貨プラットフォームの一つであるONUSは、数日前にハッキングされました。
ONUSのサイバーセキュリティ事件は、Cyclos社が提供する同社の決済ソフトウェアのLog4Shell脆弱性から始まりましたが、その後、AWS S3での設定ミスや権限付与の間違いによりエスカレートしました。
攻撃者は、Cyclos社のソフトウェアの脆弱性を利用して、ベンダーが顧客に通知してパッチを提供する前に攻撃を行いました。
ONUS社は、Cyclos社の警告を受けてすぐに脆弱性のパッチを適用しましたが、遅すぎました。
その結果、ONUSのユーザー200万人分のECYCデータ、個人情報、パスワードハッシュなどの情報が流出しました。
脅威グループがONUSに対して500万ドルを強要し、ONUSが応じない場合は顧客データを公開すると脅しましたが、身代金の支払いを拒否した後、脅威グループは200万人近いONUSの顧客のデータをフォーラムで販売しました。
決済ソフトに脆弱なlog4jバージョンが使用されていた
2021年12月9日、Log4Shellの脆弱性(CVE-2021-44228)のPoCエクスプロイトがGitHubに流出しました。そして攻撃者の目に留まり、インターネット上で脆弱なサーバーを大量にスキャンするようになりました。
2021年12月11日から13日にかけて、ONUSのCyclosサーバのLog4Shellの脆弱性を悪用し、持続的なアクセスのためのバックドアを仕掛けることに成功していたようです。
Cyclos社は、POS(Point-of-Sales)や決済ソフトウェアのソリューションを提供しており、多くのベンダーと同様に脆弱なバージョンのlog4jをソフトウェアに使用していました。
Cyclos社は13日にアドバイザリを発行し、ONUSにパッチを適用するよう通知したとのことですが遅すぎましたようです。
ONUSはCyclosにパッチを適用していたにもかかわらず、その公開期間中に脅威グループが機密性の高いデータベースを流出させるのに十分な時間がありました。
これらのデータベースには、E-KYC(Know Your Customer)データ、個人情報、ハッシュ化されたパスワードなど、約200万件の顧客記録が含まれていました。
銀行やフィンテック企業が採用しているE-KYCのワークフローでは、通常顧客から何らかの形で本人確認書類や証明書を要求し、さらに自動検証のために「ビデオセルフィー」を使用します。
Log4Shellの脆弱性は、「プログラミング目的のみ」で使用されていたサンドボックスサーバーに存在していましたが、システムの設定ミスにより本番データが保存されている機密データの保存場所(Amazon S3バケット)に攻撃者がさらにアクセスできるようになっていました。
その後、ONUS社は500万ドルの恐喝要求を受けましたが、これを拒否したと言われています。
その代わりに、同社はFacebookの非公開グループを通じて顧客に攻撃を公開することを選択しました。
ONUSのCEOであるChien Tranは、
安全を第一に考える企業として、お客様に透明性と誠実な事業運営を提供することをお約束します。
だからこそ、慎重に検討した結果、今すべき正しいことは、この事件についてONUSのコミュニティ全体に知らせることです
Amazon S3バケットの設定ミス
今回のハッキング自体は、Log4jの問題だけではなく、もう少し踏み込んだ内容になっています。
Log4jのエクスプロイトが攻撃者の入り口となったかもしれませんが、ONUSのAmazon S3バケットの不適切なアクセス制御が攻撃者の不当なアクセスを許してしまいました。
ハッカーは、ONUSシステム上の一連のライブラリの脆弱性を利用して、サンドボックスサーバ(プログラミング目的のみ)に侵入しました
しかし、設定上の問題から、このサーバーには攻撃社が当社のデータストレージシステム(Amazon S3)にアクセスし、重要なデータを盗み出す情報が含まれています。これにより、多くのユーザーの個人情報が流出する危険性があります。
脅威の行為者によって取得された顧客情報は以下の通りです。
- 氏名
- 電子メールおよび電話番号
- 住所
- KYC情報
- 暗号化されたパスワード
- 取引履歴
- その他の暗号化された情報
ONUS社にサービスを提供していたサイバーセキュリティ企業のCyStack社は、徹底した調査を行い、攻撃の仕組みや攻撃者が仕込んだバックドアについての調査結果を発表しました。
約200万件の顧客記録が売りに出される
12月25日までに、ONUSからの身代金を得ることができなかった脅威グループは、データ漏洩マーケットプレイスに顧客データを売りに出したことが明らかになりました。
脅威グループは、顧客の個人情報とハッシュ化されたパスワードを含む395のONUSデータベーステーブルのコピーを所有しているとコメントしています。
フォーラムで公開されたこのようなデータのサンプルも確認できています。
このサンプルには、顧客のIDカードやパスポート、KYCプロセスで入手した顧客が提出した自撮りビデオの画像も含まれていました。
これは、特にVNDCからONUSへの移行期間中に、ユーザーの安全を保証するために、自らを見直しシステムをアップグレードし、さらに完璧なものにするための機会でもあります。
CyStackがONUSに提案した内容は、ベンダーの指示通りにCyclosのLog4Shell脆弱性にパッチを当てること、流出したAWS認証情報を無効にすること、AWSのアクセス権限を適切に設定すること、機密性の高いS3バケットへの公開アクセスをすべてブロックすること、さらに追加の制限を加えることでした。
log4jの脆弱性は、国家ぐるみのハッカーからランサムウェアのギャングまで、あらゆる種類の脅威アクターによって悪用され、脆弱なシステムに暗号化されたマイナーを注入されています。
また、ランサムウェアの一団であるContiは、脆弱なVMWare vCenterサーバを悪用しようとしています。
Log4jのユーザーは、昨日リリースされた最新のバージョン2.17.1(Java 8対応)に直ちにアップグレードしてください。なお、この修正プログラムを含むバックポート版のバージョン2.12.4(Java 7)および2.3.2(Java 6)はまもなくリリースされる予定です。
Comments