パスワードを忘れた? アカウント作成
15314252 story
情報漏洩

Electronic Artsのデータ侵害、スタッフのPCから盗まれたcookieが入り口に 35

ストーリー by headless
入口 部門より
先日発生した Electronic Arts (EA)のデータ侵害で、ハッカーグループが(EAスタッフのPCから)盗まれたcookieを入手して侵入の入り口にしたとMotherboardが報じている(Motherboardの記事HackReadの記事Neowinの記事SlashGearの記事)。

グループの代理人とされる人物がオンラインチャットでMotherboardに伝えたところによれば、攻撃の始まりはオンラインで10ドルで売られているcookieの購入だったという。このcookieを用いてSlackにログインしたハッカーはEAのSlackチャンネルへのアクセスが可能となり、チャットでITサポート担当者に携帯電話をなくしたとメッセージを送って多要素認証トークンを入手。EAの社内ネットワークに侵入して複数のサービスにログインし、ゲームやツールのソースコードを盗み出したとのこと。

グループはFIFA 21やFrostbiteエンジンなどのソースコード計780GBを入手したと主張し、さまざまなアンダーグラウンドフォーラムで売り出しているそうだ。EAは一部のソースコードが盗まれたことを認めたうえで、プレイヤーのデータにはアクセスされていないと説明し、セキュリティを改善したことやビジネスに影響がないなどとする声明をメディアに出している。
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • by ikotom (20155) on 2021年06月13日 19時28分 (#4050070)

    これ一般の人に説明しようとしたら尽く誤解を招きそう笑

  • by Anonymous Coward on 2021年06月13日 18時03分 (#4050025)

    どこの段階で防ぐべきだっただろうか。

    ・cookieを盗まれない
     → 未知の脆弱性もあるだろうし、ここで100%防衛は無理。
    ・チャットでITサポート担当者に携帯電話をなくしたとメッセージを送って多要素認証トークンを入手
     → やっぱここか。

    「携帯電話無くしたんだけど」ってオレオレ詐欺ばりの手口にひっかかるのがダメってことか。
    うちの会社だと、社内で受け取りか、社内システムに事前登録した住所への送付しか選択肢が無い。

    • by Anonymous Coward on 2021年06月13日 18時19分 (#4050033)

      780GBも抜かれる前に検出

      親コメント
      • by Anonymous Coward

        この手の会社で780GBてゴミみたいな容量だと思うけど……。

    • by qwerty (20776) on 2021年06月13日 23時45分 (#4050179) 日記

      ・可能なら境界性防御も組み合わせる。
      ・IPレンジが大きく変わったらCookieを無効にして再認証させる
      ・重要なトークンの再発行はコールバックする
      ・社員証などを提示させる

      社内用の手続きなら何らかの方法でコールバックさせるのが一番楽かな。(携帯を無くしたならメールとか。)そこをスキップさせようとするなら物理ID提示させる。

      --
      [Q][W][E][R][T][Y]
      親コメント
    • by Anonymous Coward

      cookie(トークン)の期限を短くするのは?

      • by Anonymous Coward

        短期間で何度も客にログインさせると客離れ増えるからそれはできないんだよな

        • by Anonymous Coward

          再アクセス時に再発行でいいんじゃないかな?
          有効期限は3日ぐらいにすれば週末あっても大丈夫
          3連休あると期限切れになるけど

          • by Anonymous Coward

            それ犯罪者も3日ごとに再発行を受けて半永久的にcookieの期限延ばせちゃうから逆に危険じゃね
            正当な利用者だけが割を食うことに

            • by Anonymous Coward

              短期間にしておくは基本。
              今回みたいなケースだと十分有効だろ。
              それに長ければ延々使われる状態になるのは変わりはない。

            • by Anonymous Coward

              OAuth 2.0みたいに、再発行には隠し持っている別の認証情報(リフレッシュトークン)を要求するというのはどうだろうか。

            • by Anonymous Coward

              盗まれてから3日以内にアクセスすることが出来ればだが
              ノートPCから抜きとって、ネットで販売して購入されて使われての期間が3日だと凄く厳しいかと

              クッキーに再発行の回数記憶するとか
              もちろん再発行時の情報(IPアドレスやエージェントなど)を記録しておいてチェックするなどやり方はあるかと

    • by Anonymous Coward

      cookie廃止が加速するな

      • by Anonymous Coward on 2021年06月13日 19時56分 (#4050079)

        cookieにポータビリティがあるのが問題なんじゃね?

        親コメント
        • by Anonymous Coward

          ポータビリティがあったわけではなく、セキュリティとかプライバシーに無頓着な時代だっただけ

      • by Anonymous Coward

        こうですか

        よーしパパ、ローカルストレージに保存してやるぞ!

    • by Anonymous Coward

      >EAスタッフのPCから

      この時点

    • by Anonymous Coward

      でも今回のケースcookie盗まれた=Slack入られたの時点でかなり深刻じゃね。
      そこからの携帯電話のやり取りは多数の侵入可能経路の一つに過ぎない気がする。
      100%防衛は無理と言われると返す言葉もないけど…そういう前提だとSlackはほぼパブリックの世界としての運用が必要か。

  • by Anonymous Coward on 2021年06月13日 20時33分 (#4050092)

    slackにセッションハイジャック脆弱性があるように読めるけどそういうことなの?、

    • by Anonymous Coward

      今回のcookieの盗み元が、slackサービス側かユーザー環境側かによるんじゃないかな?
      前者だと影響がEAにとどまる理由があまりないから後者だと思う

  • by Anonymous Coward on 2021年06月13日 22時16分 (#4050134)

    How Hackers Used Slack to Break into EA Games
    https://www.vice.com/en/article/7kvkqb/how-ea-games-was-hacked-slack [vice.com]

    ストーリーの文章の大部分はこの記事がソースだね

  • by Anonymous Coward on 2021年06月13日 21時22分 (#4050111)

    Slackユーザーの(生きている)Cookieを抜き取る手段としては、

    (1) オフィスや社員宅から廃棄・盗難されたPCから抜き取る、もしくは物理的に侵入して抜き取る
    (2) Slackの脆弱性を利用して抜き取る
    (3) ブラウザの脆弱性を利用して抜き取る
    (4) 何らかのマルウェアを経由、もしくはWindowsの脆弱性を利用して抜き取る

    のいずれかになると思う。
    (1)ならEAやその社員がマヌケ。
    (2)(3)だと大問題になるが、とりあえず今のところそういう話は出ていない。(未知の脆弱性ということはあり得る)
    一番ありそうなのは(4)なんだが、そんなことができるならCookieを抜き取って$10で売るようなしょっぱい商売をせずともそのバックドア自体をもっと高値で売れそうな気もする。
    「Cookieなら$10、PCを丸ごと乗っ取れるバックドアなら$10,000」みたいな値付けだったのかもしれないが、そこまでは記事に書いてないな。

    • by Anonymous Coward

      (5) フィッシングでSlackの資格情報(ID・パスワード)を手に入れた可能性は?
      資格情報を販売するなら売り切りにせざるを得ないから、ログインcookieだけ小出しに売って長く稼ごうとしたりとか。

      • by Anonymous Coward

        それだと「(EAスタッフのPCから)盗まれたcookie」という表現と矛盾するな……と思ったけど、Motherboardへ情報提供した犯人グループの話 [vice.com]だと「盗まれたcookieを買った」(purchasing stolen cookies)というだけで、このハッカーグループがcookieを盗んだわけじゃないし、それが本当に盗まれたcookieなのかどうか彼らも分からないはずなんだよね(だから括弧書きなのか?)

      • by Anonymous Coward

        (6) 電車の中で拾ったSlackのCD-ROMをインストールしたら中に入ってたのはマルウェアだった

    • by Anonymous Coward

      Motherboardの続報によると(4)が正解だった模様。

      Inside the Market for Cookies That Lets Hackers Pretend to Be You - VICE
      https://www.vice.com/amp/en/article/n7b3jm/genesis-market-buy-cookies-slack [vice.com]

      cookie窃取用にマルウェアに感染したボットネットの一部を切り売りしているサイトがあるようですね。
      cookieだけで$10なのではなく、バックドア自体が$10ということなのでしょう。

typodupeerror

人生unstable -- あるハッカー

読み込み中...