Internet Archiveで再び侵害、盗難アクセストークンが使われる | Codebook|Security News
Codebook|Security News > Articles > Threat Report > Internet Archiveで再び侵害、盗難アクセストークンが使われる

Threat Report

BlackMeta

GitLab

Internet Archive

Internet Archiveで再び侵害、盗難アクセストークンが使われる

佐々山 Tacos

佐々山 Tacos

2024.10.21

Internet Archiveで再び侵害、盗難アクセストークンが使われる

BleepingComputer – October 20, 2024

今月初頭にハッキング被害に遭ったInternet Archive(IA)が、その際に盗まれたアクセストークンを使って再度侵害されたとの報道。今回影響を受けたのは、IAがEメールサポート運用のために利用するZendesk製プラットフォームだという。

アクターはメールサポート宛のチケット80万件超へのアクセスを入手

IAが運営するサービス「Wayback Machine」は、インターネット上の過去のWebページデータなどを大量にアーカイブし、無料で公開するサービス。ユーザーは、アーカイブされたデータの削除を依頼したい際や、単純に何らかの問い合わせをしたい場合には上述のEメールサポート(info@archive[.]org)宛にEメールを送る必要がある。

BleepingComputerによれば、過去にこのような削除依頼や問い合わせをしたことのある人々の元に、当時のメールに対する返信が19日(現地時間)頃から届き始めたという。この返信メールの送り主は、IAをハッキングした脅威アクターで、内容はIAが盗まれた認証トークンを適切にローテーションしなかったために再度侵害された旨を伝えるもの。メールには以下のような記載があったとされる。

「数週間前に情報漏洩を知らされた後でも、IAが自身のgitlabシークレット内で公開状態になっていたAPIキーの多くをローテーションするというデューデリジェンスをまだ行っていないのを見ると落胆してしまう」

「このメッセージを見てもらえばわかるように、これにはZendeskトークンが含まれており、このトークンによって2018年以降にinfo@archive[.]org宛に送られたサポートチケット80万件超へアクセスできる状態だ」

BleepingComputerがこのEメールのヘッダーを確認したところ、DKIM、DMAEC、SPFの何の認証チェックもパスしており、アクターが正規のZendeskサーバー(192.161.151.10)から上記メールを送信していたことがわかったという。また、IAのサポート宛にメールを送った者の中には、データの削除依頼をするにあたって個人を識別できる情報をアップロードしなければならなかったユーザーもいることから、脅威アクターがこうした情報にもアクセスできている可能性が浮上している。

およそ2年間公開状態だったGitLabの認証トークン

IAは10月冒頭、2つの異なるサイバー攻撃の標的に。1つは前述のアクター(仮に「A」)によるハッキングで、これによりユーザー3,300万人分のユーザーデータが盗まれるとともにサイトが改ざんされるなどの影響が見られた。もう1つの攻撃はDDoS攻撃で、これについては親パレスチナ派グループ「SN_BlackMeta」が犯行声明を出している。

両者は異なるアクターによる別個の攻撃であったにもかかわらず、メディアの中にはこれらをいずれもSN_BlackMetaによる攻撃だと報じたものがあり、これに不満を覚えたアクターAは、BleepingComputerに接触。同紙に対し、1件目の攻撃は自らによるものだと伝え、どのようにIAを侵害したのかを説明したという。これによれば、同アクターはまず、IAの開発用サーバー(services-hls.dev.archive.org)上で、遅くとも2022年12月から公開状態になっていたGitLab構成ファイルを発見。このファイルには、Internet Archiveのソースコードのダウンロードを可能にする認証トークンが含まれており、さらにこのソースコードには、複数のクレデンシャルや認証トークンが含まれていたという。そのうちの1つはIAのデータベース管理システムへアクセスするための認証情報で、アクターAはこれを使ってIAのユーザーデータベースとさらなるソースコードなどデータ7TB分をダウンロードし、サイトを改ざんすることに成功したとされる。この時盗まれたデータの中に、前述のZendeskプラットフォームの侵害を可能にしたAPIアクセストークンも含まれていたものとみられる。

アクターAの説明を受けたBleepingComputerは、Zendeskサポートシステムが侵害される直前まで繰り返しIAへの接触を試み、侵害が起こった経緯や原因などを共有しようとしていたものの、IAから返答は得られなかったという。

なおWayback Machineは現在、一部機能を除き運用を再開している。

ランサムウェアレポート無料配布中!

以下のバナーより、ランサムウェアのトレンドを扱ったSilobreaker社のレポート『2024 Ransomware? What Ransomware?』の日本語訳バージョンを無料でダウンロードいただけます。

<レポートの主なトピック>

  • 主なプレーヤーと被害組織
  • データリークと被害者による身代金支払い
  • ハクティビストからランサムウェアアクターへ
  • 暗号化せずにデータを盗むアクターが増加
  • 初期アクセス獲得に脆弱性を悪用する事例が増加
  • 公に報告された情報、および被害者による情報開示のタイムライン
  • ランサムウェアのリークサイト – ダークウェブ上での犯行声明
  • 被害者による情報開示で使われる表現
  • ランサムウェアに対する法的措置が世界中で増加
  • サプライチェーン攻撃を防ぐため、手口の変化に関する情報を漏らさず把握
  • 複数の情報源と脅威インテリジェンスツールを活用することが依然不可欠

Special Feature特集記事

Cyber Intelligenceサイバーインテリジェンス

Security情報セキュリティ