FBIのWebサイトがハッキングされ漏洩データがPastebinに公開される

『Security Affairs』

January 16, 2017 10:00
by 『Security Affairs』

悪名高いブラックハットのハッカーCyberZeist (@cyberzeist2)が、FBIのウェブサイトFBI.govに侵入し、Pastebinにデータをリークした。

そのハッカー(CyberZeist)は、複数のバックアップファイル(acc_102016.bck、acc_112016.bck、 old_acc16.bck等)で見つけたFBI.GOVのアカウントを漏洩させた。漏洩した記録には、名前やSHA1暗号化のパスワード、SHA1 saltやメールなどのアカウントデータが含まれていた。

侵入が起きたのは2016年12月22日のことだ。そのハッカーは、コンテンツマネージメントシステム『Plone』のゼロデイ脆弱性にエクスプロイトを仕掛けたことを公表した。
「遡ること2016年12月22日、それまで最も安全なCMSだと考えられていたPloneのゼロデイ脆弱性について私はツイートした。このCMSは、FBIを含めた多数のトップエージェンシーが使用している」

エクスプロイトを仕掛けたCMSのゼロデイは、自分が発見したわけではないとCyberZeistは説明している。彼はFBIとAmnestyのウェブサイトで、それをテストする役割を果たしただけだった。知的財産権調整センター(Intellectual Property Rights Coordination Center)やEUのネットワーク情報・セキュリティ機関など、他のウェブサイトも同じゼロデイ攻撃に晒されている可能性がある。

この脆弱性は、そのCMSのPythonモジュールの一部に存在している。

このハッカーは、ハッキングを行った直後に、ダウンしたFBIのウェブサイトの画像もツイートした。

このゼロデイをCyberZeistがテストした理由は、「それをFBIのウェブサイトに対して行うことは、ベンダーにとってはあまりにも恐ろしくできなかったため」だった。「ドイツやロシアのメディアは、このハッキングのニュースを報じているにも関わらず、米国を拠点とするメディアは無視している」という点にもCyberZeistは注目している。

CyberZeistによると、FBIはリークを見送るよう彼に連絡してきたという。

「FBI.GOVをハッキングして入手したものをリークしないようにと、様々な所から連絡が来たが、私は全て拒否した。なぜかって? 私はFBIの反応を待っていたからだ。彼らは直接的な反応を示さかったので、彼らが何をするつもりなのかはまだ分からない。しかし、その時点で私はFBI.GOVのハッキングで見つけたものを抜き出していたのだ」

FBIの専門家がこの問題の修復に取り組んでいる間にも、CyberZeistは攻撃の詳細情報を追加し、「Ploneのゼロデイのエクスプロイトが、現在でもCMSのバックエンドに対して有効である」ということを公表した。

「私はルートを入手することができなかった(当然だ!)。しかし、彼らが2007年から独自のカスタム設定でFreeBSD ver 6.2-RELEASEを動作させているということを、私は調査によって確認していた。それが直近にリブートを行った時刻は、2016年12月15日午後6時32分だった」と彼は付け加えた。

ウェブサイトの管理者は、たとえば同じサーバー上にバックアップファイルを晒すというような、いくつかの残念なミスを犯したようだ。そこにアクセスするハッカーにとっては(たとえ、それを直ちに公開しないことにしたとしても)、まるで冗談のような話だ。

「FBI.GOVをエクスプロイトしたとき、『FBIのウェブマスターは、サイトのルートの置き場所と同じフォルダーにバックアップファイル(.bck extension)を保存するような怠けた態度であることに疑いの余地はなかった(ありがとう、ウェブマスター!)。しかし私は、そのバックアップファイルのコンテンツ全体をリークしたわけでない。その代わり自分の研究結果や考えをツイートして、FBIの反応を待っている」

CyberZeistは、「lo4fer.」と呼ばれるハッカーが、このゼロデイをTorで販売しているということを認めた。
「そのゼロデイの販売が終了したときには、私からPloneのゼロデイの攻撃ベクトルについてツイートしよう」とCyberZeistは付け加えた。

CyberZeistがFBIのウェブサイトをハッキングしたのは今回が初めてではない。彼はAnonymousの関連グループの一員だった2011年にもFBIのデータベースに侵入している。

好奇心をそそるような話で終わろう…… CyberZeistはあなたに、次のターゲットを選ぶよう呼びかけている。

https://www.poll-maker.com/poll885856x749D3f82-36.

CyberZeistは非常に有名なハッカーで、?BarclaysTesco BankMI5を餌食にしたことでも知られている。

CyberZeistと接触したければ、Pastebinで彼のページを訪れると良い。
http://pastebin.com/u/CyberZeist2
 
翻訳:編集部
原文:FBI website hacked by CyberZeist and data leaked online
※本記事は『SecurityAffairs』の許諾のもと日本向けに翻訳・編集したものです。

BugBounty.jp

システムに内在するリスクをチェックセキュリティ診断(脆弱性診断)

提供会社:スプラウト

企業や組織のWebアプリケーション、各種サーバー、スマートフォンアプリケーション、IoTデバイスなどの特定の対象について、内外の攻撃の糸口となる脆弱性の有無を技術的に診断します。外部に公開す るシステムを安心かつ安全に維持するためには、定期的なセキュリティ診断が欠かせません。

BugBounty.jp

サイバー空間の最新動向を分析脅威リサーチ

提供会社:スプラウト

サイバー攻撃に関連した機密情報や個人情報が漏洩していないかをダークウェブも含めて調査し、もし重要な情報が発見された場合は、その対応策についてもサポートします。また、サイバー攻撃者のコミ ュニティ動向を分析し、特定の業種や企業を狙った攻撃ツールやターゲットリストが出回っていないかなどの特殊な脅威調査も請け負っています。

パスワードに代わる認証!? アリババの新たな試み

April 24, 2018 08:00

by 牧野武文

中国で普及したQRコード方式スマホ決済。普及とともにセキュリティリスクも指摘され、1日の利用限度額などの制限もかけられるようになった。そこで、アリババでは、セキュリティが確保でき、かつ認証操作が簡単な認証方式が追求されている。そのひとつとして、画像による認証方式がアリペイに搭載されたと中国のニュース…

自動車ナンバープレートの「良番」が大量に手に入る理由

April 17, 2018 08:00

by 牧野武文

四川省涼山州公安の交通警察は、自動車ナンバー取得システムに侵入し、「88888」などの縁起のいいナンバーを公開直後に不正取得し、転売をしていた犯罪集団56人を逮捕したと『新京報網』が報じた。 自動車ナンバープレート約13億円 中国人は、数字に異常とも言えるこだわりを見せる。例えば、携帯電話の番号にも…