NASA、テスラ、司法省、ベライゾン、その他2,000社の認証情報が労働安全団体から流出

ウェブセキュリティ

はじめに

全米安全評議会(The National Safety Council (NSC))のデータ漏洩が発覚し、個人情報が危険にさらされた可能性が指摘されています。この事件は、セキュリティの専門家や一般の人々の間で大きな懸念を引き起こしています。

漏洩されたデータには、個人の氏名、住所、連絡先情報などが含まれており、これらの情報が悪意ある第三者の手に渡った場合、身元盗用や詐欺行為のリスクが高まる可能性があります。全米安全評議会は、この事件に関する公式なコメントを発表しておらず、被影響者への影響を最小限に抑えるための対策をどのように講じるかが注目されています。

専門家によると、この事件は組織内のセキュリティ対策の不備やデータ保護の甘さが浮き彫りになった結果として発生した可能性があります。このような事件は、個人だけでなく組織全体にも大きな信頼の損失をもたらし、風評被害を及ぼすことがあります。今後、全米安全評議会だけでなく他の組織も同様の事件に対する対策を見直す必要があるかもしれません。

記事の翻訳

全米安全評議会から、政府機関や大企業を含む2,000社におよぶ企業会員の約10,000の電子メールとパスワードが漏洩しました。

全米安全評議会(NSC)は、職場と運転の安全トレーニングを提供する米国の非営利団体です。NSCは、デジタルプラットフォームで、さまざまな企業、機関、教育機関にまたがる約55,000人のメンバーにオンラインリソースを提供しています。

しかし、組織のWebサイトは5か月間サイバー攻撃に対して脆弱なままでした。サイバーニュースの調査チームは、何千もの資格情報を公開するWebディレクトリへのパブリックアクセスを発見しました。

漏洩した資格情報の長いリストの中には、次のような約2,000の企業や政府機関の従業員がいました。

  • 化石燃料の巨人:Shell, BP, Exxon, Chevron
  • エレクトロニクスメーカー:Siemens, インテル, HP, Dell, IBM, AMD
  • 航空宇宙企業:ボーイング, 連邦航空局(FAA)
  • 製薬会社:Pfizer, Eli Lilly
  • 自動車メーカー:フォード, トヨタ, フォルクスワーゲン, GM, ロールスロイス, テスラ
  • 政府機関:司法省(DoJ)、米海軍、FBI、国防総省、NASA、労働安全衛生局(OSHA)
  • インターネットサービスプロバイダー:ベライゾン、Cingular、Vodafone、ATT、Sprint、Comcast
  • その他: アマゾン, Home Depot, Honeywell, コカコーラ, UPS

これらの企業は、トレーニング資料にアクセスしたり、NSCが主催するイベントに参加したりするために、プラットフォーム上にアカウントを保持している可能性があります。

この脆弱性は、NSCシステムだけでなく、NSCサービスを使用する企業にもリスクをもたらしました。漏洩した資格情報は、VPNポータル、人事管理プラットフォーム、企業の電子メールなど、企業のインターネットに接続されたツールにログインしようとするクレデンシャルスタッフィング攻撃に使用された可能性があります。

また、資格情報を使用して、ランサムウェアを展開したり、内部ドキュメントを盗んだり妨害したり、ユーザーデータにアクセスしたりするために、企業ネットワークへの初期アクセスを取得する可能性があります。サイバーニュースはNSCに連絡を取り、すぐに問題を修正しました。

NSC が公開した Web フォルダ

公開されたウェブフォルダ |Source: Cybernews

ウェブディレクトリへのパブリックアクセス

脆弱性の発見は7月5日に行われました。サイバーニュースの調査チームは、開発目的で使用された可能性が高いNSCウェブサイトのサブドメインを発見しました。Webディレクトリのリストを公開し、攻撃者がWebサーバーの操作に不可欠なファイルの大部分にアクセスできるようにしました。アクセス可能なファイルの中で、研究者はユーザーの電子メールとハッシュされたパスワードを格納するデータベースのバックアップも発見しました。リークは2023年1月31日にIoT検索エンジンによって最初にインデックス化されたため、データは5か月間にわたり公開されていたことになります。

合計で、バックアップには約9,500件の一意のアカウントとその資格情報が保存され、さまざまな業界に広がる企業に属する約2,000の異なる企業電子メールドメインが保存されていました。

ユーザーの資格情報を含む漏洩したテーブル |Source: Cybernews

一般に公開されている開発環境を持つことは、開発慣行が不十分であることを示しています。このような環境は、運用環境のドメインとは別にホストする必要があり、実際のユーザー データをホストすることは控える必要があり、もちろん、パブリックにアクセスできないようにする必要があります。

ユーザ テーブル スキーマ |Source: Cybernews

膨大な数の電子メールが漏洩したため、プラットフォームユーザーはスパムやフィッシングメールが急増する可能性があります。メールに含まれる情報を外部で確認し、リンクをクリックしたり添付ファイルを開いたりするときは注意することをお勧めします。

解読可能なパスワード

公開されたパスワードは、パスワードハッシュに対して安全であると考えられているSHA-512アルゴリズムを使用してハッシュされました。ソルトを使った追加のセキュリティ対策も施されていました。ただし、ソルトはパスワードハッシュと一緒に保存され、base64を使用してのみエンコードされました。このため、潜在的な攻撃者が平文バージョンのソルトを取得するのは簡単で、パスワード・クラッキングのプロセスが容易になりました。

パスワードの強度や、以前に流出したパスワードや攻撃者が使用した単語の組み合わせのリストにもよるが、データベースで見つかった1つのパスワードをクラックするのに6時間程度かかるかもしれません。

これは、見つかったデータベース内のすべてのパスワードが解読される可能性があることを意味するものではありませんが、それらのかなりの部分が解読される可能性があります。調査によると、このようなデータダンプに存在するハッシュの約80%を正常にクラックすることは比較的一般的と言われています。

このため、NSCのアカウントを持っていたユーザーは、nsc.org Webサイトと、同じパスワードを使用した他のアカウントの両方でパスワードを変更することをお勧めします。

出典

Credentials of NASA, Tesla, DoJ, Verizon, and 2K others leaked by workplace safety organization | Cybernews

注意書き

本ブログでは、個人的な情報収集・学習を目的に元の記事を翻訳・要約して掲載していますが、記事内容の正確性について、当方は一切の責任を負いません。必ず出典元の情報をご確認の上、各自の責任にてご利用ください。

コメント

タイトルとURLをコピーしました