2023年初から、アジア太平洋地域(APAC)に位置する雇用機関や小売企業が、ResumeLootersと呼ばれるこれまで文書化されていなかった脅威アクターによって標的とされています。このグループの目的は、求人検索プラットフォームから履歴書を盗み出し、機密データを窃取することです。2023年11月から12月の間に、約65のウェブサイトが侵害され、2,188,444件のユーザーデータレコードが盗まれたと推定されています。そのうち510,259件は求人検索ウェブサイトからのものです。盗まれたデータセットには200万以上のユニークなメールアドレスが含まれています。
シンガポールに本社を置くGroup-IBによると、このハッキンググループはSQLインジェクション攻撃をウェブサイトに対して使用し、名前、電話番号、メールアドレス、生年月日、求職者の経験、雇用履歴などのユーザーデータベースを盗み出すことを試みています。盗まれたデータは、その後、Telegramチャンネルで販売されます。
さらに、Group-IBは少なくとも4つの正規の求人検索ウェブサイトでクロスサイトスクリプティング(XSS)感染を発見しました。これらは管理者の資格情報を収集するためのフィッシングページを表示する悪意のあるスクリプトをロードするように設計されています。
ResumeLootersは、2023年12月以降、APAC地域でSQLインジェクション攻撃を行っているGambleForceに次ぐ2番目のグループとして特定されました。侵害されたウェブサイトの大半はインド、台湾、タイ、ベトナム、中国、オーストラリア、トルコに基づいていますが、ブラジル、アメリカ、トルコ、ロシア、メキシコ、イタリアからの報告もあります。
このキャンペーンは財政的な動機によるものであり、ResumeLootersは昨年、情報を販売するために「渗透数据中心」と「万国数据阿力」という名前の2つのTelegramチャンネルを設立しました。
【ニュース解説】
アジア太平洋地域(APAC)において、雇用機関や小売企業が新たなサイバー攻撃の標的となっています。この攻撃は、ResumeLootersと名付けられた未知の脅威アクターによって実行され、2023年初頭から活動が確認されています。このグループは、求人検索プラットフォームを狙い、2023年11月から12月にかけて約65のウェブサイトを侵害し、2,188,444件のユーザーデータレコードを盗み出しました。このデータには、200万以上のユニークなメールアドレスが含まれています。
攻撃手法として、ResumeLootersはSQLインジェクション攻撃を主に使用しています。これは、ウェブサイトのデータベースに不正なSQLクエリを注入し、ユーザーの個人情報や職歴などの機密データを盗み出す手法です。盗まれたデータは、その後、Telegramチャンネルを通じて販売されると報告されています。
さらに、Group-IBの調査によると、少なくとも4つの正規の求人検索ウェブサイトがクロスサイトスクリプティング(XSS)攻撃によって感染していることが明らかになりました。XSS攻撃は、悪意のあるスクリプトをウェブページに注入し、訪問者のブラウザを通じて機密情報を盗み出す手法です。
このような攻撃は、ウェブサイトのセキュリティ対策の不備やデータベース管理の不適切な実践によって助長されています。特に、SQLインジェクション攻撃は古くから知られているにも関わらず、依然として有効な攻撃手法として利用されていることが注目されます。
この事件は、個人情報の保護とデータセキュリティの重要性を改めて浮き彫りにしています。特に、求職者の情報は非常に個人的かつ機密性が高いため、このような情報が不正に取引されることは、被害者にとって深刻なプライバシー侵害となります。また、企業にとっても、信頼性の損失や法的責任の問題に直面する可能性があります。
今後、ウェブサイトの運営者や企業は、セキュリティ対策を強化し、特にSQLインジェクションやXSS攻撃などの既知の脅威に対して、定期的な脆弱性評価やパッチ適用を行うことが求められます。また、ユーザーとしても、個人情報をオンラインで共有する際には、ウェブサイトのセキュリティ対策を確認するなど、慎重な行動が必要です。
from Hackers Exploit Job Boards in APAC, Steal Data of Millions of Job Seekers.
