ハッカーは、数万の企業や広報会社が利用する大手プレスリリース配信サービスであるPR Newswireから、顧客の認証情報や連絡先情報を含むデータベースを盗み出すことに成功した。
インターネットの地下組織で盗まれたビジネスデータを監視している企業、ホールド・セキュリティの最高情報セキュリティ責任者、アレックス・ホールデン氏によると、このデータベースは、最近アドビ製品の複数の盗まれたソースコードが発見されたのと同じハッカーサーバー上で発見されたため、両方の事件に同じ攻撃者が関与している可能性があることが示唆されているという。
同じサイバー犯罪者グループが、ダン・アンド・ブラッドストリート、レクシスネクシス、クロール・バックグラウンド・アメリカなど、複数の大手データブローカーのコンピューターシステムにもハッキングを仕掛けたとみられる。
「巧妙に画像に偽装されたPR Newswireのアーカイブがハッカーのリポジトリサーバー上で発見されました」と、Hold Securityは水曜日のブログ投稿で述べた。「データベースの日付は2013年3月8日のようですが、アーカイブが2013年4月22日に作成されたため、侵害が同時に発生したのか、それとも後日発生したのかはまだ不明です。」
同社は独立系セキュリティ記者のブライアン・クレブス氏と協力し、同氏がPR Newswireに侵害を警告した。
マーケティング・コミュニケーションサービス企業UBM傘下のPR Newswireは水曜日にこの情報漏洩を確認した。
「当社は最近、主に欧州、中東、アフリカ、インドの一部の顧客のアクセス認証情報とビジネス連絡先情報を保管しているデータベースが侵害されたことを知りました」とPRニュースワイヤーのCEO、ニナン・チャッコ氏はブログ投稿で述べた。
「現在、徹底的な調査を実施しており、関係する法執行機関に通報済みです」とチャッコ氏は述べた。「予備調査の結果、顧客の支払いデータは漏洩していないと考えています。」
数千件の記録が漏洩
PR Newswireはクレブス氏に対し、侵害されたデータベースには約1万件の記録があったが、顧客は通常複数のアカウントを保有しているため、実際に影響を受けた顧客の数はそれよりはるかに少ない可能性があると語った。
PR Newswireの広報担当者は木曜日、影響を受けた顧客に通知し、アカウントのパスワードを強制的にリセットしたと発表した。パスワードはハッシュ化されていたという。
ハッシュは、プレーンテキスト データがアルゴリズムに渡され、ハッシュと呼ばれるランダムに見える文字列の一意の暗号表現を生成する一方向の暗号化形式です。
ハッシュは、元の平文情報を復元するために復号化されるものではありませんが、後から入力された情報を再度ハッシュ化し、その結果を比較することで、その情報を検証するために使用できます。最近のウェブサイトでは、セキュリティ上の理由から、パスワードではなくハッシュをデータベースに保存しています。
ただし、パスワードハッシュが盗まれると、ブルートフォース方式を使用して「解読」される可能性があり、このような攻撃に対する耐性は、元のパスワードの複雑さ、使用されているハッシュアルゴリズム、ソルトなどの他の強化方法も適用されているかどうかによって異なります。
このため、アカウントのパスワード ハッシュが盗まれた場合、アカウント所有者は、そのパスワードを使用した可能性のあるすべての Web サイトでパスワードを変更するのが一般的に良い方法です。
「一般的な慣行として、PR Newswireだけでなく、ログイン認証情報を必要とするすべてのウェブサイトにおいて、強力なパスワードを使用し、定期的に更新することをお客様に推奨しています」とチャッコ氏は述べた。
まだ被害なし
ホールド・セキュリティ社は、盗まれたデータが悪用されたという証拠は持っていない。しかし、今回の盗難はハッカーの動機について多くの疑問を投げかけると同社は述べている。
「このハッカー集団の金銭的動機を考えると、PR Newswireが標的となる可能性は低く、むしろ好機だった可能性もある」とHold Securityはブログ記事で述べている。「一方で、PR Newswireを通じて行われる重要な発表の重要性を考えると、抜け目のない悪意ある人物が、未発表のプレスリリースを利用したり、重要な発表を操作したりして、株式市場での金銭的優位性を獲得する可能性もある。」
これまでにも、プレスリリース配信業者が偽の発表内容を流布し、それが株式市場に影響を与えた事例があった。
10月11日、スウェーデンのプレスリリース配信会社Cisionは、サムスンがスウェーデンの生体認証センサーメーカーであるFingerprint Cardsを買収する計画を発表したが、このプレスリリースが偽物であることが判明したため、この発表を撤回した。Businessweek誌によると、この偽発表によりFingerprint Cardsの株価は一時的に急騰し、時価総額は約2億ドル上昇した。
PR Newswireはクレブス氏に対し、同社が受けたデータ侵害が先週のCision事件に関連していると信じるに足る証拠は現時点ではないと語った。
PRニュースワイヤーの広報担当者は木曜日、同社では自社のサービスを通じて不正なプレスリリースが配信されるリスクを抑えるために、強力な技術的・人的安全対策を講じていると述べた。
