韓国のオンライン動画配信サービス(OTT)TVINGのハッキング事故で、攻撃者が個人情報を保存したデータベース(DB)サーバーに直接アクセスし、実際にクエリ(コンピューターシステムに対する問い合わせや要求を記述した命令文)を実行した状況が確認された。TVINGは事故直後、クラウドサービス接続キーであるAWS(アマゾンウェブサービス)のアクセスキーを廃棄し、攻撃者が使用した認証情報を交換していたことも分かった。
単純な個人情報流出にとどまらず、重要な運用システムへの侵入があった可能性を示す内容だ。
news1が入手したTVINGの侵害事故申告書によると、TVINGは5月30日午後6時1分、DBサーバーのCPU使用率が100%まで急上昇する異常兆候を確認し、侵害事故を認知した。申告書は国会科学技術情報放送通信委員会所属のノ・ジョンミョン韓国与党「共に民主党」議員室が、韓国インターネット振興院(KISA)から提出を受けたものだ。
申告書には「無権限者によるアクセスおよびクエリ実行などが確認された」と記載されていた。TVINGはその後、該当する行為を逆追跡した結果、「無権限者による内部システムおよびデータへのアクセス試行を確認」と明記した。
DBサーバーは、会員情報やサービス利用情報を保存・管理する重要システムだ。クエリは、データベース内の情報を照会、修正、削除するために実行する命令を指す。単なる外部からの接続試行や異常トラフィックの発生ではなく、攻撃者が実際にデータベースにアクセスして命令を実行した状況がKISAへの申告書に記されていた。
特に申告書は、今回の事故が個人情報流出を超え、内部システム侵入につながった可能性を示している。TVINGは事故発生直後、無権限アクセスを遮断し、クエリを無効化したと説明した。また、関連行為を逆追跡し、内部システムとデータへのアクセス試行を確認したという。
ハッキングを認知する前には、DB失敗アラームとCPU使用量の急増が発生していたことも分かった。申告書には「DBサーバーCPU100%発生により異常行為などを確認した結果、無権限アクセスおよびクエリ実行が確認された」と記されている。
TVINGの事故対応過程も注目される。TVINGは申告書で、攻撃者が使用した認証情報を直ちに無効化し、攻撃に使われたと確認されたAWSアクセスキーを廃棄したと明らかにした。また、GitHubにハードコーディングされていた認証情報を削除・交換し、露出したキーを削除した後、新しい認証情報に変更したと記した。
AWSアクセスキーは、クラウドサーバーやストレージ、データベースなど主要システムへのアクセスに使われる認証情報だ。セキュリティ業界では、侵害事故直後にAWSキーの廃棄と認証情報の交換が同時に実施された点に注目している。攻撃者が認証情報を確保していたか、認証体系が攻撃経路として利用された可能性を排除できないためだ。
ただ、現在公開された申告書だけでは、実際の侵入経路がAWSキーまたは認証情報の流出だったかどうかは確認されていない。
申告書によると、事故発生時刻は5月30日午後6時1分、事故認知時刻は31日午後3時9分だった。TVINGは6月1日午後3時8分、KISAに侵害事故を申告した。
情報通信網法施行令は、情報通信サービス提供者が侵害事故の発生を知った時から24時間以内に科学技術情報通信省またはKISAに申告するよう定めている。申告書上の記載時刻を基準にすると、TVINGは事故認知から23時間59分後に申告を受け付けたことになる。
申告書には被害IPが「確認不可」と記載され、サーバーの位置は「クラウド(AWS)など」と明記されていた。警察への申告の有無は、申告当時の基準で「いいえ」と表示されていた。
これに先立ち、TVINGは2日、個人情報を保存するDBに無権限アクセスが発生し、個人情報流出の状況を確認したと告知した。流出した可能性がある情報は、ID、氏名、生年月日、性別、電話番号、メールアドレスなどだ。
(c)news1