ITmedia NEWS > セキュリティ >
速報
» 2021年11月15日 07時21分 公開

FBIの偽メール大量配信の手口を“pompompurin”が解説

米連邦捜査局(FBI)の正式メールアカウントから10万人以上に偽メールが送信された件について、実行したという“pompompurin”が手口を解説した。LEEPアカウント申請過程で配信されるワンタイムパスコードがFBIのWebサイトから簡単に取得できたとしている。

[ITmedia]

 米連邦捜査局(FBI)の正式メールアカウントから10万人以上に偽メールが送信された件について、FBIは11月14日(現地時間)、原因はFBIが法執行機関、諜報機関、刑事司法機関に提供しているポータルサービス「Law Enforcement Enterprise Portal(LEEP)」の設定の問題を悪用されたことだと発表した。

 fbi FBIによる情報更新

 FBIの発表に先立って、偽メール配信を実行したという「pompompurin」を名乗る個人がセキュリティジャーナリストのブライアン・クレブス氏にFBIの公式メールアカウントを使ってコンタクトをとり、インタビューで手口を解説した。クレブス氏は自身のメディアKrebs on Securityでその手口を紹介した。

 pompompurinはクレブス氏に「FBIのシステムのひどい脆弱性を指摘するためにハッキングを行った」と語った。

 FBI自身による発表の通り、pompompurinはLEEPの問題を悪用した。

 leep LEEPのトップページ。「安全なプラットフォーム」を謳っている

 LEEPには誰でもアカウントを申請できるようになっており(本稿執筆現在はできなくなっている)、申請の過程でワンタイムパスコードを含む確認メールを受信するようになっているが、このワンタイムパスコードがFBI自身のWebサイトのHTMLコードで漏れていたという。

 なお、LEEPアカウント申請のヘルプページの「ステップ1」には「Internet Explorerあるいはその他のブラウザを起動し」と記載されている。

 ie 今年の6月にサポートが終了したInternet Explorerを起動するよう指示するヘルプページ

 pompompurinは送信されたリクエストを編集し、メッセージの件名フィールドとテキストコンテンツのフィールドのテキストを変更することで、eims@ic.fbi.govアカウントから自分自身にメールを送信し、悪用が可能なことを確認した。その後、簡単なスクリプトを書いて偽メール送信を自動化したという。

 「この脆弱性を悪用すれば、企業をだましてデータを盗むこともできたはずだ」とpompompurinは指摘した。

Copyright © ITmedia, Inc. All Rights Reserved.