2016/06/15,日本最大的旅行社JTB股份有限公司宣布自己受到了未知黑客的攻击,多达793万份客户个人信息可能被窃取。攻击者伪装了一份供应商的机票邮件,诱使员工打开附件压缩包中的PDF文件,进而让攻击者得以植入木马,实施信息窃取动作。
编者注:以下内容翻译自日经computer 的ITpro。(日文表述真是很啰嗦,为了让大家尽可能看到原有内容,译文只做小幅度调整,以便读起来稍微通顺些)
JTB Corporation(JTB)于2016年6月14日发布通告,最大可能有793万份个人资料泄露的起源于巧妙伪装成客户的针对性攻击邮件(相关报导:“虽然没有泄露信息,还是向顾客致歉”、因793万人的信息有可能被泄露,JTB高桥社长谢罪)。
包含有效护照号码在内的大约4300人份个人信息有可能被泄露的案例在日本国内尚属首例。在当天的记者会见和会见后的采访中追寻事件原委。
事情是从是几个月前开始的(2016年3月15日)。攻击者向子公司i.JTB公开在网站的咨询邮箱发送了带有针对性攻击的邮件。
被入侵的网站是JTB旗下子公司i.JTB所属网站,包括rurubu.travel及JAPANiCAN.com,网站的业务主要是向来日旅游的外国人销售旅游产品,所以公司的邮箱会经常接收到各类供应商的咨询邮件,比如航空公司和旅馆等。子公司i.JTB有250位操作员来处理这些咨询。
下图是根据采访编辑部绘制的攻击路径概要图。
攻击路径概要图
伪装成咨询邮件,PDF的恶意软件进行攻击
据JTB的今井敏行集团总部董事国内事业本部长(CS推进、Web战略担当)介绍,收到的有针对性攻击邮件“伪装的非常巧妙,被打开也是没有办法的事”。邮件软件上显示的邮件地址域名是一家航空公司的域名,这家供应商一直与i.JTB有业务往来,只不过显示的用户名不是已知员工的。
邮件名是“飞机票存根 附件通知”,至于正文的内容,在见面会当天的答复是“没有”,但在6月15日JTB宣传室更正为“有正文。正是该内容让工作人员误认为是供应商的来信”,“咨询的内容也没有什么特别奇怪的地方,只是一眼看不出来(是不是攻击邮件)”,今井氏先生表示。
附件是“压缩文件,压缩文件中包含了PDF文件”(JTB宣传室),据说PDF文件是飞机票的电子票。系统操作人员将该压缩邮件打开后,由于没有找到该人的申请表,回信说明了“没有找到相关记录”。
然而操作人员没有注意到一个现象,系统返回了一份错误邮件“邮件无法送达”(今井先生)。攻击者伪装了邮件地址,真实的邮件地址与显示的发信人是不同的,发信源据说是海外的租赁服务器。“没有想到日常来往的邮件被监听了,看起来攻击者是一直在研究(旅行)行业”。
附件中包含了防病毒软件无法检测到的未知恶意程序,该恶意程序允许攻击者进行远程操作。JTB的金子和彦集团本部董事经营规划部长(经营规划・IT规划・事业开发担当)表示,该恶意软件已证实是“ELIRKS和PlugX的变种”。
Trend Micro将ELIRKS归入特洛伊木马类型,PlugX归入后门型。根据该公司公布的调查《国内有针对性网络攻击分析2016年版》中指出, 从Trend Micro截获的针对性攻击样本中抽取100份进行研究,在RAT(远程操作工具)类别中PlugX占41%(相关报道:具备巧妙隐蔽手段的针对性攻击工具“BKDR_PLUGX”),其次是2015年5月日本养老金机构遭受针对性攻击时使用的“EMDIVI”,占39%。
RAT入侵目标后,就会与攻击者事先准备的C&C(命令)服务器进行通信,接受攻击者命令,不断感染其他终端,进而窃取更多信息。调查报告指出,(内网中受控制的机器与C&C(命令)服务器之间的通信不容易被察觉。以前的RAT由于会使用独特的端口与C&C(命令)服务器通信,所以很容易被检测出来,但如今的RAT会使用80端口和HTTP这样的常用端口和通信协议的组合,以躲避检测。
在后续的一段时间,i.JTB公司受感染的服务器和PC分别增加到了2台和6台。针对性攻击在某些情况下会通过劫持活动目录服务器来加速扩散,但据说本次事件中目录服务器并未被劫持。
检测到外部通信也无法做全部阻断
PC被感染4天后(3月19日),受i.JTB委托的第三方安全公司向JTB集团开发应用系统的信息系统提交了报告,报告称i.JTB的某台Web服务器有向外发送可疑通信的动作,但发送的远程目标服务器地址并不在已有C&C服务器黑名单中,只是根据数据分析结果判断为可疑通信,而且通信目标地址是在“海外”(金子先生)。
第二天(20日),i.JTB将Web服务器及公司内部网络进行了物理隔离,同时将可疑的远端目标地址加入了Web服务器的黑名单。但直到24日为止,还是不断出现新的可疑通信,这些发向外部的通信路径比较复杂,需要不断加入黑名单。
“这个过程一直持续到25日,浪费了很多时间”,金子先生说,“而且这个阻断动作一直没有向JTB报告”。关于i.JTB在20日未采取全面阻断的理由做了如下说明,“没有意识到针对性攻击邮件是起因,对于事件的严重程度认识不够充分。如果在20日进行全阻断的话,无论从技术上还是从业务上都有可能避免遭受损失”。
随后,JTB信息系统开始对i.JTB所有的PC、服务器及各类设备进行调查。4月1日,发现了攻击者为盗取数据而做的准备痕迹。
攻击者在3月21日登录了“实用数据库”,该数据库储存了面向顾客的促销邮件、提供信息、问卷调查等数据,攻击者从其中的870万人数据中提取了790万份信息并生成CSV文件。但这个生成文件的动作并没有在数据库服务器上进行,而是放到了给公司内各服务器发布商品信息的控制服务器上,并于当天删除了这个CSV文件。
“实用数据库并没有加密。虽然数据库访问权限只有管理员一个人有,但攻击者并不是从管理员PC盗取数据”,JTB负责人表示,“攻击者为何成功访问了实用数据库,到目前为止还不清楚”。公司有25名公司员工拥有实用数据库的BI(business intelligence)工具的账号,但目前看起来与本次事件的关联性不高。
随后向总部报告,给客户通知,与警方沟通工作
JTB信息系统和i.JTB与其安全公司展开通力协作,一方面清除恶意软件,另一方面努力恢复被删除的CSV文件,以便持续跟踪分析法访问以及展开应对工作。直到5月13日,才确认CSV文件包含有个人信息。然而,距离确认CSV文件被生成,已经过去了1个多月的时间。
至此JTB集团总部终于在5月13日成立了事故对策总部。“实际上该事件升级到集团总部是在5月13日数日之前”,金子先生表示,“而JTB高桥广行社长是在13日以后才知道的”。
金子先生称,复原的CSV数据需要规整,由于复原的数据有一部分缺损,“排列不规则很难辨别出具体客户信息”。据说,文件中的每个数据记录随机记录了姓名、出生年月等,较难查明具体客户身份。“目前阶段,在无法查明客户身份的情况下公布名单,只会导致不安和混乱,因此事故对策本部决定等可以查明客户身份后再对外公布该事件”。
6月10日CSV文件的复原工作完成,由此判断可能泄露的客户信息最多可能有793万份。由于“根据i.JTB全网调查结果,除了商品信息控制服务器外,没有找到攻击者其他生成文件的痕迹”,金子先生表示,“因此确信信息泄露的数量大约在793万份”。
由此事件进行扩大范围追踪,了解到从2007年9月28日至2016年3月21日之间,JTB的网站及rurubu.travel、JAPANiCAN.com、合作网站等在线预约一部分商品的使用者也受到影响。合作网站中受影响最大的估计是NTT DOCOMO。该公司在收到JTB的通告后,发表声明说,在这793万人中包含了使用“d travel”的约33万人。
在此期间,JTB于5月30日向警视厅进行了咨询,目前还未出现受害报告。“由于通信端在海外,日本无权搜查,且目前是有可能泄露,并未查明已经泄露出去,因此也只能是咨询阶段”,今井先生表示。对于从确认感染到咨询经过了2个月以上,今井先生表示“也许可以更早些”。
承认远程操作一事,但并非已泄露
金子氏认为,“攻击者远程访问个人信息并生成CSV文件是事实”,同时强调从调查该事件的安全公司接到了有可能泄露的报告, 「对于是否有被建议做阻断也需要做确认」。
另一方面,金子氏就公开声明中采用“有可能一部分个人信息被泄露”这一说法的理由,是“通信日志中没有找到相关记录,无法确定是否泄露出去了,因此采用了‘可能性’这一说法”。在见面会上也断言说,“到目前为止,也不认为有(数据)被外泄”。
通信日志没有找到相关记录的理由之一,是日志不充分。
i.JTB“通信出口和代理服务器的日志基本上都获取到了,但其中一部分没有拿到。但这并不是由于攻击使日志消失了”,金子先生表示。见面会后的采访中JTB负责人表示,“在某段通信路径中,获取到了异常通信,却没有获取到正常的通信”,金子先生认为日志获取方法和获取标准不一致归结于“没有目的性”,可见在各种Web网站运营过程中没有实现统一。
目前为止,JTB集团虽然有接收到针对性攻击邮件,但还未出现受害报告。在被问及到本次事件的整体重大课题时,金子先生反省到“作为保管顾客个人信息的公司,对于针对性攻击的认识和准备都还不足”,没有引入防御未知恶意软件入侵的沙盒产品等也是其中的原因之一。
统一安全管理体制不能忽视
在体制方面,JTB做的并不充分。虽然JTB“没有专门的安全部门,也没有相关统领部门”,金子先生表示,“但这并不意味着我们无计可施,面对日渐严重的安全威胁,需要采取相应对策”。例如,i.JTB从2年前就开始每月两次的针对性攻击邮件训练演习。“由于公司是通过网络来开展业务的,所以相关的演练工作是必须的,但这对于JTB集团来说做的太少了”。
并且JTB系统信息在2016年4月1日成立了CSIRT(安全事故对应小组)。如前所述, 4月1日也是发现攻击者留下痕迹的日子。“CSIRT一成立就要面对这个事情”,金子先生说,这对于JTB信息系统的CSIRT来说,将会面临苦战”。
出席公布信息泄露可能性记者见面会的JTB高桥广行社长(右)和今井敏行集团总部董事国内事业本部长(CS推进、Web战略担当)
虽然承认体制方面改进的滞后,但在见面会时,JTB并未将责任归结于当初打开邮件的系统操作人员。今井氏说,“严格来说,公司内部有明文规定‘禁止打开不明邮件’,即便是日常往来的供应商邮件,发件人不明的话,也不应该打开。然而,只是从这点来说的话,责难(打开邮件的)系统操作员,也是有些牵强的”。
由于公司内部规定中并没有禁止打开未知邮件发送人邮件的要求,因此“并不能说这次打开邮件是违反了公司规定。但是有必要从根本上重新修改规定”,今井先生表示。另一方面,被问及到关于公司内部的处分时,高桥广行社长说,“以担当者、管理责任者在内的全体相关人员为对象,公司内部进行相应调查,并根据公司规定进行严肃处理”。
高桥社长在记者见面会之初,就首先致歉说,“给客户和相关人员带来了麻烦和困扰,对此深感歉意”。社长还声明,会于7月1日成立以专任董事为首的IT安全专门统括部门,为进一步提高集团整体的IT安全而努力。
会议结束时,社长也再次强调了强化安全理念,“今后会更加强化IT安全,不遗余力去防止安全事件再次发生”。对于有可能被泄露信息的793万人,会在1个月通知完毕,同时为挽回失去的信任而继续努力。
如果您需要了解更多内容,可以
加入QQ群:486207500、570982169
直接询问:010-68438880-8669