3月 23

KADOKAWAが不正アクセスされフィッシングメールに悪用された可能性について考えてみました。

kadokawa_sorry
KADOKAWAオフィシャルサイト( http://www.kadokawa.co.jp/ )が不正アクセスの被害に遭い、フィッシングメール送信の踏み台にされていた可能性があるそうです。
このブログを書いている 2014年3月23日3:00 現在、サイトの一部のサービスをサーバーの安全性確保と調査のため停止しているようです。
マイナビの記事によると

不正アクセスを受けた期間は公表していないが、これによりフィッシングメールを送信する”踏み台”にされた可能性がある。現在同社は、KADOKAWAオフィシャルサイトを閉鎖して調査を行なっているという。

なお、個人情報の流出や、マルウェアのダウンロードへの誘導といったWeb改ざんを仕組まれた痕跡は現時点で「一切見つかっていない」としている。

とのことです。

上記、報道内容が正しいと仮定してボクが推測したことは以下の通りです。

・KADOKAWAの正規のメールアドレスを利用してKADOKAWAのユーザへKADOKAWAのフィッシングサイトへ誘導するメールを送信したのではないか?

・そうすることによりフィッシングサイトがテイクダウン(停止)されるまでフィッシングメールに引っかかった人のユーザID、パスワード(平文)で盗み出すことが可能となる。

・KADOKAWAのサイト自体を改ざんして情報を盗む方法を取らなかったのは改ざんに気付かれた時点でユーザの情報を盗めなくなってしまう。しかし、フィッシングメールでのフィッシングサイトへの誘導であればサイト上での異変に気付いてもメールは既に送信されているためサイト側では対策を講じることができず、フィッシングサイトをテイクダウンされるのを待つのみとなり、ユーザの情報を盗むための時間稼ぎができる。

・今回侵害を受けたKADOKAWAのサーバからアクセスできる範囲にユーザのID、パスワードが存在した場合、そちらも盗んでいる可能性がある。その盗んだ情報はパスワードが暗号化、ハッシュ化されている可能性があるためにそちらは現在、別のサイトへのリスト型攻撃などのために平文に戻す作業をしている可能性がある。

・上記によって攻撃者はユーザID、パスワード(暗号化、ハッシュ化されている可能性あり)に加えて、フィッシングサイトからユーザID、パスワード(平文)も入手できるというメリットがあると考えられる。また、フィッシングサイトによるパスワードの入手は平文に戻すには時間がかかる複雑なパスワードも平文で入手できる可能性があるということもメリットである。

もちろん、以上は推測ですので当たっているかもしれませんし、外れているかもしれません。
あくまで攻撃者が考えそうなことを推測してみました。
今後、詳細が公表されることを待とうと思います。

【2014年3月24日 22:50追記】
[続報]KADOKAWAへの不正アクセス、大手銀行を装うフィッシングが目的
続報が出ていました。

出版大手のKADOKAWAのサーバーが不正アクセスを受けた問題において、同社サーバーを経由して大手銀行を装うフィッシングメールが送られていることが判明した

とのことです。
良いのか悪いか分かりませんが予想ははずれました。

【2014年3月23日 14:40追記】
このエントリについてご意見をいただきました。
頂いた意見を要約したものは以下の通りです。

自社サービスのIDを盗むフィッシングメールの送信に使われたのなら、トップページでもっと具体的に注意喚起をすると考えられる。具体的な注意喚起ができない理由として自社ではなく他社のサービスを騙ったフィッシングメールに使われたかということも考えられる。また、メールの送信や中継に使われたのではなく、フィッシング画像などのコンテンツのホスティングに使われたという可能性も考えられる。

KADOKAWAのドメインのメールで同サイトのフィッシングサイトへの誘導をすると怪しまれる率、スパムフィルタを抜ける率が高まり、結果的に平文パスワードを入手できる率が高まると考えたので今回ボクは、KADOKAWAに閉じた攻撃で推測してみました。頂いた意見のような可能性は充分に考えられると思います。
また、実際のメール送信や中継ではなくコンテンツのホスティングに使うという可能性はボクには考えついていませんでした。




Copyright 2017. All rights reserved.

Posted 2014年3月23日 by ntsuji in category "memo