今年で25年目を迎えるBlack Hat USAは、サイバーセキュリティ・コミュニティに参加方法の選択肢を提供し、ユニークなハイブリッド・イベント体験を提供することに興奮しています。
Black Hat USA 2022は、4日間のTrainingで幕を開けます(8月6日~11日)。
2日間のメインカンファレンス(8月10~11日)では、ブリーフィング、アーセナル、ビジネスホールなどが行われ、バーチャル(オンライン)イベントとラスベガスでのライブイベント(対面式)の両方を提供するハイブリッド型イベントとなります。
第三者機関による詳細な調査の結果、本事象は、外部で不正に入手されたリストを用いたパスワードリスト攻撃(※)であったと結論付けました。
(※)外部より不正に入手した他者の ID とパスワードの組み合わせのリストを用いてサイトにログインを試みることで、個人情報の閲覧等を行うサイバー攻撃。
・5 月 16 日(月)
AM9:36
ご登録いただいているお客様から当該サイトポイント(以下ポイント)使用に関する複数の問い合わせがあったため、不正ログインを疑い社内調査を開始。
AM9:49調査の結果、登録ユーザー以外の第三者による不正ログイン試行と、ログインが成立した一部のケースにおいて第三者によるポイントの詐取が発生したことを確認。当該 IP からのアクセスを遮断。
PM12:00上記の調査結果をふまえ、被害拡大の防止と被害範囲の特定、原因調査のために当該サイトの公開を一時的に停止。
・5 月 17 日(火)セキュリティ専門の第三者機関を交えて詳細な事実関係の調査確認と安全対策に関する協議を開始。
・5 月 19 日(木)当該サイトにおいて、ポイント詐取が発生する以前にもパスワードリスト攻撃と見られる不正アクセスが行われ、複数のアカウントについてログインがなされていることを確認。
・5 月 20 日(金)ご登録いただいているすべてのお客様のパスワードをリセットし、既に不正利用されたメールアドレス・パスワードの組み合わせでのログインを今後遮断する対応を実施。
・5 月 23 日(月)パスワードポリシー変更等アカウントの安全性を強化した上で、当該サイトを再度公開。
・5 月 24 日(火)〜 5 月 27 日(金)ご登録いただいているすべてのお客様に対し、不正アクセス発生の事実についてメールでご報告。
・6 月 1 日(水)セキュリティ専門の第三者機関にて被害状況調査を開始。
・6 月 27 日(月)同一 IP アドレスからの高頻度のアクセスを遮断する対応を実施。
・6 月 29 日(水)セキュリティ専門の第三者機関より被害状況調査報告を受領。
① パスワードリスト攻撃による不正ログイン被害
[パスワードリスト攻撃が行われた期間]2022 年 4 月 10 日(日)AM 00:12 ~ 2022 年 5 月 16 日(月) PM 12:00
[パスワードリスト攻撃被害]不正ログイン試行回数:68,821,639 回上記のうち、実際にログインされた回数:59,742 回(※1)ログインされたアカウント数:27,196 件(※2)
(※1)弊社コーポレートサイトに公開いたしました第 2 報では、試行回数 138,338,195 回、ログイン数 60,518 回と記載していましたが、より詳細に調査を行った結果、攻撃者による実質的な攻撃を伴うアクセス・ログインは上記回数であることが判明したため、訂正いたしました。
(※2)1 つのアカウントに対し、複数回の不正ログインが発生していたため、重複を除いたアカウント数を記載しています。
上記の不正ログインされたアカウントで、閲覧された恐れのあるユーザー情報とアカウント数の詳細は以下のとおりです。
- ニックネームのみ:25,245 件
- ニックネーム・都道府県:751 件
- ニックネーム・都道府県・市区町村以降の住所・氏名:1,196 件
- ニックネーム・都道府県・保有資格・卒業年・生年月日・性別:3 件
- ニックネーム・都道府県・市区町村以降の住所・氏名・保有資格・卒業年・電話番号・生年月日・性別・奨学金情報:1 件
上記以外のアカウント情報の閲覧はございませんでした。なお、銀行口座、クレジットカード情報等、決済関連の情報は、もとより保有しておりません。
※ 弊社が導入する WAF ではリスト攻撃を検知するための機能を有効化、メーカーの提案値よりも検知率が高くなるよう閾値を設定して運用しておりましたが、閾値を下回る速度(頻度)でパスワードリスト攻撃が行われたため、検知・遮断ができておりませんでした。
② 第三者による不正なポイント交換による被害[不正アクセスによるポイント交換が行われた期間]2022 年 4 月 10 日(日)AM 00:50 ~ 2022 年 5 月 16 日(月) AM 10:30※ 追加調査により、弊社コーポレートサイトに公開いたしました第 2 報で報告した被害発生以前に、ポイントの不正使用が 1 件あったことが判明したため訂正いたしました。[ポイントの不正使用による被害件数およびポイント数]ポイントが不正使用されたアカウント : 1,878 件不正使用されたポイント数 : 652,004 ポイント※ 追加調査により、弊社コーポレートサイトに公開いたしました第 2 報で報告した被害発生以前に、ポイントの不正使用が 1 件あったことが判明したため訂正いたしました。
[不正アクセスの被害にあわれた方への対応]・第三者による不正なログイン・ポイント交換による被害が確認できたアカウントで登録されているお客様に対して本件状況を個別にメールでご連絡・不正にポイントを利用されたお客様に対しての損失補填(実施済み)[実施済みの対策]・当該サイトのパスワードポリシーの強化・認証画面における reCAPTCHA(リキャプチャ)の導入・ご登録いただいているすべてのお客様のパスワードをリセット
※ 再ログイン時に、お客様にて新たなパスワードをご設定いただくこととなります。パスワードの使い回しを避け、従来ご利用されていたパスワード以外を設定いただくようお願いしております
・再攻撃に備えた重点的な監視策を強化・同一 IP アドレスからの高頻度のアクセスを遮断[今後実施予定の対策]・メール/ショートメッセージを用いた二段階認証の導入
近年、PBXやIP電話対応機器などをご利用のお客さまに対し、かけた覚えのない高額な国際電話料金が請求される事象が発生しています。企業のお客さまの場合、とくにオフィスが無人となる土日・祝日や連休、深夜から早朝の間に被害に遭う傾向が見られます。
これらの被害は、お客さまが設置されているPBXやIP電話対応機器などの設定に問題がある場合やセキュリティ対策が不十分な場合に、悪意のある第三者がこれらの機器に不正にアクセスし、お客さまになりすまして国際電話を不正利用していることが原因であると判明しています。
お客さまにおかれましては、ご利用中のPBXやIP電話対応機器の設定状況をご確認のうえ、予め十分なセキュリティ対策を講じていただき、第三者による不正利用が行われないようご注意ください。
例えば以下のような方法で、お客さまになりすました国際電話の不正利用が行われるケースがあります。
なお、不正利用による国際電話の発信先として多い国/地域の例は以下の通りです。国際電話を利用されることがないお客さまは、後述の利用休止手続きを取っていただくことも可能です。また、国際電話を利用されるお客さまであっても、これらの国/地域へ電話をかけることがない場合、お客さまのご利用機器の設定を変更して、これらの国/地域への発信を停止することをお勧めします。
<発信先の国/地域例>
| 国番号 | 国/地域名 |
|---|---|
| 1-246 | バルバドス |
| 1-264 | アンギラ |
| 1-441 | バミューダ諸島 |
| 1-767 | ドミニカ国 |
| 1-876 | ジャマイカ |
| 7 | ロシア連邦 |
| 7 | カザフスタン共和国 |
| 32 | ベルギー王国 |
| 34 | スペイン王国 |
| 41 | スイス連邦 |
| 46 | スウェーデン王国 |
| 48 | ポーランド共和国 |
| 52 | メキシコ合衆国 |
| 53 | キューバ共和国 |
| 56 | チリ共和国 |
| 90 | トルコ共和国 |
| 212 | モロッコ王国 |
| 213 | アルジェリア民主人民共和国 |
| 216 | チュニジア共和国 |
| 220 | ガンビア共和国 |
| 221 | セネガル共和国 |
| 224 | ギニア共和国 |
| 225 | コートジボワール共和国 |
| 228 | トーゴ共和国 |
| 229 | ベナン共和国 |
| 231 | リベリア共和国 |
| 232 | シエラレオネ共和国 |
| 235 | チャド共和国 |
| 237 | カメルーン共和国 |
| 238 | カーボベルデ共和国 |
| 240 | 赤道ギニア共和国 |
| 241 | ガボン共和国 |
| 242 | コンゴ共和国 |
| 243 | コンゴ民主共和国 |
| 244 | アンゴラ共和国 |
| 245 | ギニアビサウ共和国 |
| 247 | アセンション島 |
| 248 | セーシェル共和国 |
| 252 | ソマリア連邦共和国 |
| 256 | ウガンダ共和国 |
| 257 | ブルンジ共和国 |
| 258 | モザンビーク共和国 |
| 260 | ザンビア共和国 |
| 261 | マダガスカル共和国 |
| 263 | ジンバブエ共和国 |
| 264 | ナミビア共和国 |
| 266 | レソト王国 |
| 269 | コモロ連合 |
| 297 | アルバ |
| 355 | アルバニア共和国 |
| 370 | リトアニア共和国 |
| 371 | ラトビア共和国 |
| 372 | エストニア共和国 |
| 375 | ベラルーシ共和国 |
| 376 | アンドラ公国 |
| 377 | モナコ公国 |
| 381 | セルビア共和国 |
| 382 | モンテネグロ |
| 383 | コソボ共和国 |
| 386 | スロベニア共和国 |
| 387 | ボスニア・ヘルツェゴビナ |
| 592 | ガイアナ共和国 |
| 593 | エクアドル共和国 |
| 597 | スリナム共和国 |
| 670 | 東ティモール民主共和国 |
| 675 | パプアニューギニア独立国 |
| 677 | ソロモン諸島 |
| 686 | キリバス共和国 |
| 678 | バヌアツ共和国 |
| 682 | クック諸島 |
| 685 | サモア独立国 |
| 960 | モルディブ共和国 |
| 967 | イエメン共和国 |
| 972 | イスラエル国 |
| 994 | アゼルバイジャン共和国 |
| 995 | ジョージア |
| 996 | キルギス共和国 |
<ご利用機器メーカー、契約中の保守事業者などへ必要に応じてご相談のうえお客さま自らで実施いただく主な対策>
<通信事業者へお申し込みいただくことでできる主な対策>
※長期間、国際電話を利用していないお客さまは、国際電話利用休止をご検討ください。
令和4年3月10日から6月8日までにヘルプデスクにお問い合わせいただいたメール情報。
総数 | 18件(17人分)※ |
流出情報 | メールアドレス、メール本文 |
※当該受託事業者の電子申請システムは、全国で約800の自治体が利用しているクラウドサービスであり、全国で2,312件の流出が発生し、うち船橋市電子申請システム関係で18件(17人分)のメール情報が流出したもの
日付 | 状況 |
5月20日 | ヘルプデスクに届いた不審メールを申請者からの問合せと誤認し、添付ファイルを実行し、マルウェアに感染。なお、この時点ではアンチウイルスソフトにより検知されず。 |
6月6日 | ヘルプデスクアドレスをかたった不審メール1件の申告を受託事業者が受領。以降、複数の利用団体から不審メールの申告を受託事業者が受領。 |
6月8日 | 受託事業者がアンチウイルスソフトによりマルウェアを無害化。 |
6月23日 | 受託事業者の業務パソコン1台が過去にマルウェア感染していた痕跡を検出し、5月20日に感染したことが判明。 |
6月29日 | 受託事業者の当該パソコンから情報流出したメール(2,312件)を特定。 |
6月30日 | 受託事業者より情報流出したメールに船橋市の情報も含まれる旨を受電。 |
7月1日 | 受託事業者より詳細説明(Web会議)。18件(17人分)のメールアドレス及びメール本文の流出があった旨、報告を受ける。 |
スコット・クイン・バーケット(25)は、嘱託殺人を犯したとして、1件の有罪を認めた。法廷文書によると、バーケットは2020年夏にオンラインで女性と知り合った。2020年10月、女性は被告とセクロスするためにロサンゼルスに飛んだ。
その後、女性はバーケットとの関係を絶とうとしたという。
2021年4月、女性の家族がバーケットのことをバーケットの父親に連絡した。
その後、バーケットはダークウェブで雇われ殺人と称するサイトを発見し、13,000ドルでヒットマンを依頼した。バーケットは注文書にこう書いていた
「事故に見えるか、強盗の失敗の方がうまくいくかもしれない。彼女が死んでいる限りは。彼女の携帯電話も回収して欲しいその過程で復元不可能なほど破壊して欲しい 彼女の死亡証明を送ってもらいたい。彼女の前腕の片方に特徴的な刺青があり、そのイメージがわかるので、遺体の写真と身元確認のための刺青の写真があればよい。加工された写真を避けるため、刺青の写真を送るのは控えることにします。できれば、アリゾナ州かアイダホ州かも教えていただければ、死亡記事で確認できます。
その後、ダークウェブ上の嘱託殺人のサイトを調査していた報道機関から、バーケットのヒットマンについて連邦捜査局に問い合わせがありました。その報道機関は、バーケットがサイトの管理者に提供した「被害者の身元と所在地、ソーシャルメディアのアカウント、ニックネーム、電子メール、被害者の特徴的なタトゥー」などの情報から、この女性が目的の被害者であると特定したのです。
ブロックチェーン分析ソフトウェアを使用し、捜査官は13,000ドルの支払い元としてCoinbaseを特定しました。Coinbaseの記録から、問題の口座の所有者がバーケットであることが確認されました。
FBIは、この女性にヒットマンとバーケットについて連絡した。彼女はFBIに対し、ロサンゼルスに飛び、そこで被告と寝たと言いました。彼女は彼の行動を "性的な攻撃 "と表現しました。ロサンゼルスを出た後、彼女はバーケットからのメッセージに返事をしなくなりました。彼女は、バーケットが「複数のソーシャルメディアや通信プラットフォーム」で自分に連絡を取ろうとしたことを不満に思っていました。
バーケットがダークウェブで雇ったヒットマンを装って、FBIの潜入捜査官がWhatsAppでバーケットに接触してきた。バーケットは潜入捜査官との会話の中で、何度も自分を陥れるような発言をした。
米国連邦地方裁判所のMark C. Scarsi判事は、2022年9月12日に判決公判を予定しています。バーケットは最高で10年の禁固刑に処されます。
出典:LA Man Tried to Hire a Hitman on the Darkweb