パイプドビッツによれば、不正アクセスの原因はスパイラルECのシステムの設定不備によって攻撃者にバックドアのPHPプログラムを置かれたのが原因だという。
システムではWebサーバの負荷分散のためにリバースプロキシを介してコンテンツデータをWebDAVから参照する構成がとられていたが、Webサーバで本来は不要なPUTメソッドが無効化されていなかった。WebDAVではPHPが動作する設定だった。
攻撃者は脆弱性診断ツールを悪用してWebサーバ側の設定不備を発見し、PUTメソッドを使ってWebDAVにバックドアのPHPプログラムを設置。これを利用しながら、システムのファイルを参照したり、データベースへの接続を試したりしたほか、ECサイト運営者の管理画面へのログインIDとパスワードのメッセージダイジェストを閲覧した。
攻撃者はこれらの探索活動を通じてECサイト運営者のログインIDとパスワードを取得し、これを使って管理画面から個人情報をダウンロードした。調査から、攻撃者はOSのroot権限を奪取できないこと、WebDAV以外のサーバへSSHなどでログインしていないことは確認されたとしている。
応急策では、まずWebサーバのPUTメソッドを無効化して不正プログラムを設置できない措置を講じ、リバースプロキシではファイル拡張子によるアクセス制限を実施した。WebDAVサーバでも不正行為などの監視を強化し、攻撃者が設置したバックドアのPHPプログラムを駆除した。
スパイラルECは2010年4月26日にリリースされ、当初からWebサーバでPUTメソッドが有効なままになっていたという。同社は、システムの設計段階でこの設定のリスクを評価しなかったことから対策がなされなかったと説明。年1回以上実施していたというセキュリティ診断でもこの設定状況を見つかられなかったという。
また、2015年11月と2016年4月に長時間わたる攻撃が発生したが、システム監視で検知できなかったという。2016年4月16日にはSQLインジェクションの脆弱性を調べた可能性のある痕跡に気が付いたものの、問題がないと判断。システムではファイルの改ざん検知も講じていたが、ユーザーが常時変更する領域は監視対象から外していたといい、バックドアのPHPプログラムが置かれたことに気が付けなかったという。
WebDAV側ではPHPの無効化や必要な機能だけを分離するなどのセキュリティ対策を講じるべきだったものの、それらを実施していなかった。ECサイト運営者のパスワードも推測されやすい脆弱性な文字数や文字種が使われていたとしている。
こうした経緯から同社は、(1)システム設計時におけるリスク評価の不備、(2)
不審な兆候を把握した際の詳しいログ調査などの未実施、(3)セキュリティインシデント発生時の連絡や情報共有などの不備、(4)改ざん監視の不備、(5)WebDAVの機能分離、(6)ECサイトに求められる堅牢なパスワードの運用不備――を問題点に挙げた。
調査結果から同社は、攻撃に関する以下の推測も挙げている。
Copyright © ITmedia, Inc. All Rights Reserved.