Dellの情報漏えい、顧客情報4,900万件で確定。犯人がその手口を語る

セキュリティ

Dell

Dellの情報漏えいが4,900万件で確定したほか、犯行手口が判明しました。海外メディアのBleeping Computerが報じました。

先日、Dellは顧客情報が漏えいしたことを明らかにした。その中には、顧客の氏名、住所、注文に関する情報が含まれていた。

2024年4月28日に、Breach ForumsというハッキングフォーラムでMenelikという人物がDellから窃取したとされる4,900万件の顧客情報を販売していた。

ハッキングフォーラムの内容

私たちはMenelikにコンタクトを取って話を聞いたところ、件の犯行は自身によるものだと語った。

MenelikはDellのパートナー・再販業者・小売業者向けのポータルページからデータを窃取した。偽の会社名で複数のアカウントを登録してポータルにアクセスしたという。Menelikは以下のように述べている。

パートナーとして登録するのはとても簡単です。情報を入力するだけです。会社の詳細とパートナーになりたい理由を入力すればDellは承認し、ポータルへのアクセス権を得られます。私はこの方法で自分のアカウントを作成しました。これらのプロセスは24~48時間で完了します。

― Menelik

ポータルへのアクセス権を得ると、Menelikは7桁のサービスタグを生成するプログラムを作成し、2024年3月からポータルページにサービスタグを送信して、返ってきた情報を収集した。ポータルページにリクエスト制限はなく、過剰にリクエストを送ってもブロックされなかったため、毎分5,000件のリクエストを3週間にわたって行うことで4,900万件もの顧客情報を収集することができたという。

Menelikは2024年4月12日と14日にDellのセキュリティチームにメールでこの問題を報告した。DellはMenelikのメールには返信をせず、約2週間後まで修正しなかった。修正したのはハッキングフォーラムに窃取したデータを売りにだした頃だという。

本件についてDellに問い合わせたところ、多くの質問には答えなかったが、Menelikからのメールを受け取る前からすでに状況を把握していたと語った。Dellは以下のように述べている。

この人物は犯罪者であり、私たちは法執行機関に通報をしています。私たちは現在進行中の捜査に影響を及ぼす恐れのある情報を開示できません。私たちはこの人物からのメールを受信する前に、すでにこのインシデントを認識して調査し、阻止するための措置を講じていました。また、サードパーティのフォレンジック企業にも本件の調査を依頼しました。

― Dell
[Source: Bleeping Computer

少しわかりにくい部分を補足しますと、Dellの製品にはどこかに英字と数字を組み合わせた7桁のサービスタグというものが記されています。

サービスタグ

パートナー向けのポータルページでサービスタグを入力すると、そのサービスタグに紐づいた個人情報が返ってくるという仕組みを利用した犯行のようです。

Posted by にっち