「Darkweb」カテゴリーアーカイブ

Coubicへの不正アクセスについてまとめてみた

2019年3月19日、クービックは予約システム「Coubic」が不正アクセスを受け情報が漏えいした可能性があると発表しました。ここでは関連する情報をまとめます。

公式リリース

www.company.coubic.com

  • 管理用パスワード漏えい経路が判明したため22日に更新されている。

インシデントタイムライン

日時 出来事
2019年2月頃 Coubicが不正アクセスを受けた可能性。
2019年3月18日 情報漏えいの可能性についてCoubicへ外部から情報提供。
2019年3月19日 クービックが不正アクセス被害を発表。
2019年3月22日 クービックが続報として不正アクセスの原因を発表。
2019年4月3日 クービックが特定調査を終了したと発表。

漏えいした可能性のある情報

クービックはサービス提供者、提供サービス利用者それぞれで次の情報が漏れた可能性があると発表。
漏えいした範囲を特定するに足る情報が確認できず、流出データの特定は技術的に出来ないと判断。

  • 氏名
  • メールアドレス
  • ハッシュ化されたパスワード
  • 電話番号(サービス提供者のみ)
  • クレジットカード情報の一部

クレジットカード情報の一部とは次の情報が該当する。

  • カード番号下4桁の数字
  • 有効期限

不正アクセスの原因

f:id:piyokango:20190325005917p:plain

  1. クービックが利用する業務システムに不正ログイン
  2. 管理用パスワードの一部が漏えい
  3. Coubicの予約システムデータベースから情報を窃取
  • 発端となった業務システムの詳細は明らかにされていない。
  • 同様の事由による不正アクセスが発生しないよう対策は実施済みとクービックは説明。

Darkwebマーケットで販売か

f:id:piyokango:20190325000419p:plain

  • 漏えいしたデータがDarkwebマーケットで販売されていたと報じられた
  • 販売ページにはデータ件数内訳が次の通り説明されている。
メールアドレス 150万件
ハッシュ文字列 50万件
  • ハッシュは「SHA256だが正確なアルゴリズムは不明」と記述されている。
  • 販売価格は0.1569 BTC(約7万円相当)
  • 販売者はLifebearと同じアカウント「Gnosticplayers」

piyolog.hatenadiary.jp

ASPサービス被害による影響

Coubicを利用するユーザー(サービス提供者)による案内が掲示されている。
www.angel-r.jp
www.kazusa.or.jp
ameblo.jp
www.taito.co.jp

Coubicの予約システムへのリンクを張る際に用いられる文言で検索すると多数ヒットすることからこれらの案内はごく一部とみられる。
www.google.com
なお、クービックはこの事案による影響件数を公表していない。

更新履歴

  • 2019年3月25日 AM 新規作成
  • 2019年4月3日 PM 続報反映

Lifebearへの不正アクセスについてまとめてみた

2019年3月18日、オンライン手帳アプリを提供するLifebearは外部からの情報提供を受け、不正アクセスを受けたことを発表しました。ここでは関連する情報をまとめます。

公式発表

インシデントタイムライン

日時 出来事
2019年2月 Lifebearに対して何者かによる不正アクセスが発生。
2019年3月18日 Gnosticplayersによるデータ販売が開始。
同日 セキュリティ専門家からLifebearに対して情報提供。
同日 Lifebearが不正アクセス被害を発表。
2019年3月20日 Lifebearが不正アクセスの調査結果を発表。(第二報)

被害の状況

不正アクセスにより次の情報を含むアカウント情報が取得された可能性がある。

  • ユーザー名
  • メールアドレス
  • 不可逆な暗号化された状態(ソルト付与あり)のパスワード
  • アプリ内の設定画面「カレンダー表示」の設定値

また被害範囲についての説明があった。

  • クレジットカードなど、購入に係る情報は窃取されていない。
  • アカウント登録をしていない利用者への影響はない。

Lifebearの対策

  • 過去運用した経路の遮断と管理者用パスワードの変更
  • システムの入れ替え(潜在的な脆弱性への対策)
  • より強固なハッシュ化アルゴリズムの採用
  • 調査委員会を設置、警察、法律関係者へ被害相談をしている状況。
  • 万一を想定し、利用者へパスワード変更を呼びかけ。

発端

  • 外部からLifebear社に対して情報提供があった。
  • セキュリティ侵害によりアカウント情報が窃取された恐れがあるというもの。

不正アクセスの手口

  • 過去運用したDB障害対応用のアクセス経路に問題があった。

- 2019年2月頃に不正アクセスを受けた。

関連が疑われるGnosticplayersによるデータ販売

f:id:piyokango:20190319091931p:plain

  • 2019年3月18日頃、Gnosticplayersによるデータセットの販売がDarkwebにて公開された。
  • インドやインドネシアなど6サービスのデータベースを対象としたもので、Lifebearが含まれていた。
  • Gnosticplayersによる販売は今回で4回目。日本の企業が含まれたのは初めて。
  • 販売されているデータが本物かは3月18日時点では確認されていない。
  • 2019年3月22日に販売サイトの製品評価にコメントが書き込まれていた。

f:id:piyokango:20190324100353p:plain

リークセットに含まれているもの

  • データベースサイズは386万件。取得時期は2019年2月頃。
  • LifebearのDBは0.262 BTC(約1,040ドル/約11万6千円)で販売。6サービス全部を合計すると1.2431 BTC。(約5,000ドル相当)
  • 販売ページには9件のSampleと称するデータが張り付けられている。
  • ハッシュアルゴリズムの説明には「Md5 with static salt」との記述がある。

更新履歴

  • 2019年3月19日 AM 新規作成
  • 2019年3月19日 AM 情報追加、見出しの修正
  • 2019年3月21日 AM 第二報追加、ZDnetの記事削除
  • 2019年3月24日 AM 情報追加