シンガポールに拠点を置く情報セキュリティ会社Group-IBは、2023年の最後の2ヶ月間にアジア全域の求人サイトや小売業者のウェブサイトから個人情報を盗んだグループを検出しました。この犯罪集団は「ResumeLooters」と名付けられ、SQLインジェクションとクロスサイトスクリプティング(XSS)攻撃を使用してサイトのデータベースを盗みました。この手法により、200万以上のメールアドレス、名前、電話番号、生年月日、職歴が盗まれました。
初期の被害者は主に求人検索ウェブサイトであり、このグループはリクルーティングエージェンシーから盗んだデータの販売にも焦点を当てていると報告されています。SQLインジェクションが主なツールであった一方で、XSSスクリプトは4つの正規の求人検索ウェブサイトで使用されました。攻撃者は、被害者が閲覧するウェブページに悪意のあるスクリプトを注入する偽のプロファイルを求人サイトに作成し、情報の盗難、コンテンツの操作、またはその他の悪意のある行動を実行することができました。
Group-IBは、攻撃が2023年の1月早くに始まったと信じており、被害者の約70%がAPAC地域にいました。最も多くのウェブサイトがハックされたのはインド(12)、台湾(10)、タイ(9)、ベトナム(7)でした。また、攻撃者のサーバーには、複数のペネトレーションテストツールのログが含まれており、攻撃者がオープンソースツールを好んで使用していることが明らかにされました。しかし、ResumeLootersが目標システムへのシェルアクセスを得ることに成功したかどうかは不明です。
Group-IBは、ResumeLootersが使用したキャンペーンのメールアドレスを2つの異なる中国語のTelegramアカウントに追跡しました。そのうちの1つは「渗透数据中心」、もう1つは「万国数据阿力」と名付けられていました。コード内の多くのコメントが中国語であったことから、攻撃者が中国から来ているという仮定が支持されました。
【ニュース解説】
シンガポールに拠点を置く情報セキュリティ会社Group-IBが、2023年の最後の2ヶ月間にアジア全域で活動していたサイバー犯罪集団「ResumeLooters」を特定しました。この犯罪集団は、求人サイトや小売業者のウェブサイトを標的に、SQLインジェクションとクロスサイトスクリプティング(XSS)攻撃を駆使してデータベースから個人情報を盗み出しました。盗まれた情報には、200万以上のメールアドレス、名前、電話番号、生年月日、職歴が含まれています。
この攻撃は、求人検索ウェブサイトを初期の主な標的とし、その後、リクルーティングエージェンシーからのデータ盗難にも焦点を当てました。攻撃者は、求人サイトに偽のプロファイルを作成し、閲覧者のウェブページに悪意のあるスクリプトを注入することで、情報を盗んだり、コンテンツを操作したりすることが可能でした。
Group-IBの分析によると、この攻撃は2023年の1月に始まった可能性があり、被害者の約70%がアジア太平洋地域に集中していました。特にインド、台湾、タイ、ベトナムが最も多くの被害を受けた国でした。また、攻撃者が使用したサーバーには、複数のペネトレーションテストツールのログが含まれており、攻撃者がオープンソースツールを好んで使用していたことが明らかになりましたが、彼らが目標システムへのシェルアクセスを得ることに成功したかどうかは不明です。
さらに、Group-IBはResumeLootersが使用したキャンペーンのメールアドレスを2つの異なる中国語のTelegramアカウントに追跡しました。これらのアカウントは、盗まれたデータを販売するために使用されていたことが示唆されています。コード内のコメントが中国語であったことから、攻撃者が中国出身である可能性が高いと考えられます。
この事件は、サイバーセキュリティの重要性を改めて浮き彫りにしました。特に、求人サイトや小売業者のウェブサイトなど、個人情報を扱うプラットフォームは、SQLインジェクションやXSS攻撃などのサイバー攻撃から自身を守るために、セキュリティ対策を強化する必要があります。また、このような攻撃は、個人情報の漏洩による被害者のプライバシー侵害だけでなく、不正アクセスによるデータの損失や悪用による経済的損失も引き起こす可能性があるため、企業や組織は常に警戒を怠らないことが求められます。
from Crime gang targeted jobseekers across Asia, looted two million email addresses.
