Monster.comの個人情報盗難事件、盗まれたデータは数十万人分に/index/rss|セキュリティ・マネジメント|トピックス|Computerworld

CW_Welcomeバナー

header_cwr_head_mid_fl_logo

CW_ADJUST_ウルトラバナー

CW_ウルトラバナー_Topics02

CW_ウルトラバナー_Topics04

CW_ウルトラバナー_Topics05

CW_ウルトラバナー_Topics06

CW_ウルトラバナー_Topics07

CW_ウルトラバナー_Topics08

セキュリティ・マネジメント

RSS

Monster.comの個人情報盗難事件、盗まれたデータは数十万人分に

新種のトロイの木馬が暗躍
(2007年08月21日)

 求人情報サイト「Monster.com」を舞台にした個人情報盗難事件の全貌が明らかになりつつある。米国シマンテックによると、トロイの木馬によって同サイトから盗まれた個人情報は数十万人分に上っている。

 シマンテックのセキュリティ・アナリスト、アマド・ヒダルゴ氏は、同社が「Infostealer.Monstres」と呼ぶ新種のトロイの木馬プログラムにより、数十万人分の個人情報がMonster.comのワールドワイドの求人検索サービスから盗まれたことを明らかにした。盗まれた情報はその後、ユーザーのマシンにマルウェアを組み込むのに使われたり、スパマーに売り渡されたりしたという。

 Monster.comについては、同サイトを含む複数の求人サイトで4万6,000人のユーザーがウイルスに感染したことが先週末に判明しているが、彼らはMonster.comでの大がかりなマルチステージ攻撃のごく一部の被害者にすぎないかもしれないと、ヒダルゴ氏は見ている。

 Monster.comの広報担当者であるスティーブ・シルベン氏は8月19日、メールでの取材に応じ、「現在、Infostealer.Monstresに関するリポートを調査中で、調査が終わりしだい必要な対策を講じる」と語った。

 データを追跡したヒダルゴ氏は、盗んだ個人情報を格納するために使われていたリモート・サーバにたどりついたという。盗まれた個人情報には、本人の氏名、電子メール・アドレス、自宅の住所、電話番号、履歴書のID番号が含まれていた。

 Infostealer.Monstresは、正規のログイン名を使うことでMonster.comから情報を抜き取ったと考えられている。このログイン名は、同サイトの「Monster for employers(求人企業向け)」エリアにアクセスできるリクルーターと人事スタッフから盗まれたものだという。このトロイの木馬は侵入後、特定の国に居住する求職者や特定業界で働く求職者の履歴書を対象に自動検索を走らせた。その結果が前出のリモート・サーバにアップロードされたというわけだ。

 「これほど個人情報が詰まった巨大データベースは、とりわけスパマーにとって魅力的だろう」とヒダルゴ氏。事実、攻撃者はこうして入手したデータをスパマーに売り渡していたとされる。

 ヒダルゴ氏によると、攻撃者はまず、Monster.comにアップロードされた履歴書からメール・アドレスなどの個人情報を収集。次に、それらのアドレスあてにフィッシング・メールを送信し、“Banker.c”または“Gpcoder.e”と呼ばれるマルウェアをユーザーのPCに送り込む。

 シマンテックがBanker.cと命名した1番目のマルウェアは、感染したPC上でオンライン・バンキング・アカウントへのログオンを監視する、ごく一般的な情報窃盗のトロイの木馬だ。このマルウェアは、ログオンを感知するとユーザー名とパスワードを記録し、そのデータを“ハッカー本部”に伝送する。

 一方、Gpcoder.eはハッキングしたPC上のファイルを暗号化して、ユーザーがデータをアンロックするための料金を支払うまでそれらファイルを人質にする「Ransomware」(ransomは身代金の意)だ。

 Infostealer.Monstresの第2ステージの攻撃はGpcoderを使ったもので、きわめて気づきにくい。Monster.comから盗んだ個人情報を巧みに盛り込んだ電子メールは、Infostealer.Monstresに組み込まれているメーリング・コードとテンプレートにより、同社から配信されたものと見分けがつかないという。

 このメールは、受信者に「Monster Job Seeker Tool」というプログラムをダウンロードするよう促す。もちろん、こうしたツールなどあるはずもなく、RansomwareのGpcoder.eがダウンロードされるだけだ。

 Infostealer.Monstres、Banker.c、Gpcoder.eの3種類のコードはそれぞれ関連しており、同一グループが開発したものだとヒダルゴ氏は指摘する。

 「それぞれの最終目的は異なるが、同じファイル名を使い、同じシステム・フォルダを作成して、同じプロセスにコードを注入し、ネットワークの機能を乗っ取り機密情報を盗むという点では、手口が非常に似通っている。コードを共有しているうえ、特徴も似ており、同一グループによって開発されたか、同じキットを使って作成されたと考えるのが自然だ」(ヒダルゴ氏)

 一方、Monster.comのシルベン氏は、同サイトの自動検索機能を擁護し、「当社はデータベースのアクティビティを監視しているが、盗まれたクレデンシャルでシステムにアクセスされた例は過去にもある」と説明。さらに、実在の人間による正当な自動検索と、ソフトウェアによって開始する自動検索とを見極めるのは難しいと釈明した。「大手の顧客はわれわれのデータベースにかなり頼っており、彼らの使い方はプログラムやスクリプトでのアクセスにそっくりなのだ」(同氏)

(グレッグ・カイザー/Computerworld オンライン米国版)

記事詳細テキストバナー

ページの先頭へ戻る

CW_Topics_レクタングルバナー08

CW_Topics_レクタングルバナー14

CW_Topics_レクタングルバナー15

CW_Topics_レクタングルバナー17

CW_Topics_レクタングルバナー19

CW_Topics_レクタングルバナー22

スポットライト

PR

CW_ADネットワーク_レクタングルバナー

フッター_impActウルトラバナー

content_bottom_cwr_txt

セキュリティ・マネジメント|Computerworld - エンタープライズITの総合ニュースサイト

Computerworldは、エンタープライズITの総合情報メディアです。90カ国に展開するIDGのグローバルな情報網を駆使し、世界の最新トレンドやケーススタディ、さらには情報システム/ネットワークの構築・運用テクニックなどをわかりやすく解説します。