著名なセキュリティーリサーチャーのpiyokango氏が注目のシステムトラブルをピックアップ。今週の注目ネタは…。
2019年10月下旬の注目ニュースは3件。最初は、三菱UFJ銀行の不正アクセス被害を取り上げる。
顧客の口座情報や取引先の情報が漏洩(10月25日)
三菱UFJ銀行は法人向けに提供するサービスが不正アクセスを受け、台湾を拠点とする企業の口座情報や取引先の情報が漏洩したと発表した。
漏洩したのは、13社の口座情報とその取引明細1305件。取引明細には、取引先名や取引先の従業員名、メールアドレスなどが含まれる。
不正アクセスには、東京に設置した通信暗号化装置の脆弱性が悪用されたとしている。ただ原因となった装置名を明らかにしていない。
筆者が不正アクセスを受けたサービスのログイン画面を確認したところ、URLに「/dana-na/auth/url_default/welcome.cgi」という文字列を含み、ソースに「JavaSript」というタイプミスがあることが分かった。どちらも米パルスセキュア(Pulse Secure)の製品の特徴と一致している。
さらに該当のサービスを提供するWebサーバーは、ソフトウエアのバージョンらしき文字列を含むテキストファイルを公開していた。そこには「Pulse Secure Network Connect 8.2」と記載されていた。以上から、不正アクセスを受けたのはパルスセキュアの製品だと推測される。
パルスセキュアの製品には2019年5月までに脆弱性が見つかり、修正プログラムが提供されていた。JPCERTコーディネーションセンターは2019年9月6日、この脆弱性が修正されていないサーバーが国内に残っているとして、注意喚起を出していた。この脆弱性を悪用されると、遠隔から任意のコードを実行される恐れなどがあった。
三菱UFJ銀行は2019年10月4日に不正アクセスを確認し、その後脆弱性のないバージョンにアップデートしたとしている。不正アクセスを受けたのはパルスセキュアの製品かどうかを同行広報部に確認したところ、ノーコメントということだった。
https://www.bk.mufg.jp/news/news2019/pdf/news1025.pdf
