Ctripの脆弱性が暴露された後、地下産業チェーンは関与したホワイトハットハッカーと話をした

Ctripの脆弱性が暴露された後：関与したホワイトハットハッカー、Sina TechnologyのMeng Hong氏との会話

先週末は平穏ではありませんでした。

3月22日18時18分。インターネットセキュリティ問題フィードバックプラットフォームWooyun（wooyun.org）で、脆弱性レポート番号54302が公開され、公開者はWooyunの中核ホワイトハットハッカー「Pig Man」でした。報告書によると、Ctripの脆弱性により、大量のユーザーの銀行カード情報が漏洩し、クレジットカード詐欺などの問題に直接つながる可能性があるという。

このニュースはメディアを通じて瞬く間に広まり、その後暴露された「ファーウェイ本社のサーバーが米国国家安全保障局にハッキングされた」というニュースや、以前に暴露された非常に深刻と思われるいくつかの脆弱性をも上回る注目を集めた。

ユーザーがカードを変更できる抜け穴

この脆弱性の原因は何ですか? Ctrip がユーザーの支払いを処理するために使用する安全な支払いサーバー インターフェースのデバッグ機能により、ユーザーの支払い記録がテキストで保存されると報告されています。同時に、支払いログを保存するサーバーには厳格なベースライン セキュリティ構成がないため、ディレクトリ トラバーサルの脆弱性があり、すべての支払いプロセスのデバッグ情報がハッカーによって読み取られる可能性があります。

いわゆるトラバーサルとは通常、特定の検索ルートに沿ってツリー内の各ノードを 1 回だけ順番に訪問することを指します。 「機密情報漏洩」に分類されるこの脆弱性により、カード所有者名、IDカード、銀行カード番号、銀行カードCVVコード、6桁のカードBin、その他の非常に機密性の高いコンテンツを含む、大量のCtripユーザーの情報が漏洩する可能性があると言われています。

Ctripの公式説明によれば、技術開発者がシステムの問題をトラブルシューティングするために一時的なログを残したが、不注意により時間内に削除できなかったとのことだ。しかし、MediaVの最高技術責任者である胡寧氏は、微博で同社を批判し、「データ送信はプレーンテキストで行われ、オンラインではデバッグ機能が長時間オンになっていたため、システムログもプレーンテキストとなり、時間内にクリーンアップされず、保存されていたサーバーにセキュリティ上の脆弱性があった」と述べた。

Ctrip の同僚は Sina Technology に対し、Ctrip がワイヤレス側であまり安全ではない方法を採用していたと語った。この方法はユーザーにとって操作が簡単であったが、一定のセキュリティリスクがあった。 Ctripの内部関係者はSina Technologyに対し、これは「偶発的な」セキュリティインシデントであり、Ctripはユーザー関連情報を保存する意図はなかったと語った。Ctripもこのような問題は理解できないとしている。

ユーザーはそれを理解できません。この脆弱性により漏洩した情報は、ほぼすべてのユーザーの銀行カード情報が漏洩する危険があることを意味します。この情報があれば、クレジットカード詐欺は簡単に実行できる可能性があります。

最も大きなリスクに直面しているのは、Ctrip の無線端末を通じて最近取引を行ったユーザーです。 Ctripは脆弱性の期間と範囲を明らかにしていないため、リスクを回避する最善の方法は、すぐに銀行に連絡してカードを変更することです。

中国招商銀行（7.98、0.07、0.88％）のクレジットカード顧客サービスによると、ここ数日、多くのユーザーがCtripの脆弱性問題について問い合わせの電話をかけており、そのほとんどは元のクレジットカードをすぐにキャンセルし、新しいカードを開設するなどのヘッジ措置を講じている。招商銀行の職員は、クレジットカードの再発行には2日かかり、配達には約1週間かかり、その間はクレジットカードは使えないと語った。

重要なポイント: CVV と PCI

漏洩リスクのある情報の中でも、CVVが注目されています。

CVV（カード検証値）は、CVC（カード検証コード）とも呼ばれます。情報によると、この情報はカード番号、有効期限、サービス制約コードによって生成される3桁または4桁の数字であり、通常はカードの磁気ストライプのトラック2のユーザー定義データ領域に書き込まれます。 CVVとCVCの生成方法は同じで、呼び方が違うだけです。

この情報は取引を確認するために使用されます。 CVV はオンライン取引（カードのスワイプ）中にチェックされますが、この情報は実際のカードのスワイプを行わない取引ではさらに決定的な役割を果たします。ただし、カードをスワイプせずに支払いを行う際に通常提供する必要がある情報は、実際には CVV2 と呼ばれ、カードの裏面の署名の横にある 3 桁の番号であることを詳しく説明しておく価値があります。

CVV2 は機密情報であるため、インターネット決済など、カードのスワイプを必要としない取引では明確な処理規制があります。

中国銀聯が発行した「銀行カード加盟店口座管理基準」によれば、各加盟店のシステムは、取引決済、カード検証コード、個人識別番号（PIN）、カードの有効期間に使用される情報のみを保存できます。磁気トラック情報、カード認証コード、個人識別コード、カードの有効期限は、UnionPay カード取引を完了するためにのみ使用され、他の目的には使用できません。

いくつかのオンライン決済サービスプロバイダーも新浪科技に対し、実際の業務では関連規制を遵守し、規制に違反してユーザー関連情報を保管することはないと伝えた。 CVVと比較して、Ctripが批判にさらされているもう一つの英語の略語はPCIです。

金融業界における PCI は通常、Payment Card Industry Data Security Standard、つまり PCI-DSS (Payment Card Industry Data Security Standard) を指します。 PCI の目的は、クレジットカード、デビットカード、キャッシュカードの取引のセキュリティを最適化し、カード所有者の個人情報が他人に使用されないように保護することです。

このリークでは、Ctrip が PCI 標準に準拠する資格がないと非難する人もおり、これは Ctrip のプロセスの問題によるものだと主張した。 VeryCDの創設者である戴雲傑氏は、CVV2は保存すべきではない機密データであるとCtripに公に疑問を呈した。 PCI認証を取得したCtripの同僚はSina Technologyに対し、この資格の申請は簡単ではなく、合格するまでに1年かかると語った。

Ctrip は PCI 認定を取得していますか? 公式回答: Ctrip の慣行は PCI-DSS 規制に準拠しています。 Ctrip は PCI-DSS の規制要件をさらに厳格に実施します。

1 人のユーザーとの通話 93 件

もちろん、PCI に関する議論は最優先事項ではなく、PCI 認証を取得することで問題が発生したという反例もあります。一般ユーザーにとっての中心的な疑問は、「私は安全か？」ということです。

詳細な情報開示が不足しているため、Ctrip の大規模なユーザー層は不安を抱いている。公式声明は、「Ctrip による調査の結果、脆弱性を発見した人物のみがテストダウンロードを行いました。コンテンツには、暗号化されたカード番号情報がごく少量含まれており、合計 93 人の Ctrip ユーザーが危険にさらされる可能性がありました。」というものです。 Ctripは23日にこの93人のユーザーに順次通知する予定。電話がかかってこない場合は「安全なので心配する必要はない」ということになる。

93の規模はCtripに比べると極めて小さいです。 22日にCtripプラットフォームで取引を行ったユーザーは、Sina Technologyに対し、Ctripから電話通知を受け取っていないと語った。しかし、最近Ctripと取引を行った他の数人のユーザーと同様に、彼らは皆、個人情報のセキュリティについて深い懸念を表明しており、Ctripに対する信頼は最低レベルにまで落ち込んでいます。

実際、Sina Technologyが連絡を取ったCtripユーザーのほとんどはすでにカードを変更している。

幸いなことに、これまでのところ、この脆弱性により Ctrip ユーザーが損失を被ったことを示す公開情報はありません。残念なことに、Ctripの情報漏洩は、それ以前にも被害を引き起こしていた可能性がある。

広西チワン族自治区のユーザー Yan Maojun 氏がその好例です。このCtripダイヤモンドカード会員の説明によると、今年2月25日の早朝、彼の携帯電話にクレジットカード取引に関するテキストメッセージ通知が数件届いた。一部は米ドル、一部は英ポンド、一部はユーロで、控除額は合計2万人民元未満だった。

数回の問い合わせを経て、Yan Maojun氏はCtripに疑いを絞り込んだ。同氏の説明によると、2月25日に10件以上の外貨盗難があったのはCtripのアカウントにリンクされた3枚のクレジットカードのみで、他の3枚のクレジットカードは問題がなかったという。しかし、Yan Maojun氏が提起した疑惑を証明するより厳密な証拠がなければ、Ctripがそれを認めることは難しいだろう。

「私はこれらの銀行のプラチナ会員で、72時間の補償を受けています。クレジットカード詐欺が私のせいでなければ、自分で支払う必要はなく、プラチナ保険でカバーされます。」ヤン・マオジュンは、Sina Technologyとのやり取りの中で、Ctripのセキュリティの抜け穴が銀行の言い訳になる可能性があると述べた。彼は、問題が発生した場合、多くの非プラチナ会員が損失を自ら負担しなければならないことを懸念している。

銀行業界のある人物もSina Technologyに対し、クレジットカード詐欺が発生した場合に誰かの責任を問うことは実は非常に難しいと語った。

ホワイトハットハッカーのピッグマンとの対話

クレジットカード関連の脆弱性の出現は、当然のことながら、ハッカーに関連する地下産業チェーンにつながります。

ハッカーとその背後にある儲かるビジネスに関する報告は、長年にわたってインターネット上で広く流布されてきた。また、国内外でハッカーによる情報窃盗事件も後を絶たない。例えば、2011年12月には中国最大のプログラマー向けサイト「CSDN」がハッカーの攻撃を受け、600万人以上のユーザー情報が流出したと報じられた。昨年12月には、米国第3位の小売り大手ターゲットの顧客4000万人分のクレジットカード情報が盗まれた。

有名なインターネット情報セキュリティ専門家のsunwearは、新浪微博で、クレジットカード業界のハッカーサークルは非常に成熟していると述べた。ヨーロッパ、アメリカ、台湾、日本などの国はすべてハッカーのターゲットであり、多くのウェブサイトがクレジットカード番号、CVV、有効期限などの情報を保存している。Ctripは氷山の一角に過ぎない。多くのデータが暗号化または非表示になっているが、使用するのは簡単ではないかもしれない。

同氏はまた、オランダにあるハッカーのサーバーから取得した情報のスクリーンショットも公開した。「含まれていたクレジットカード情報は中東の航空会社と台湾の複数のウェブサイトからのもので、合計約700万件のエントリーがあった。ハッカー界隈の相場によると、欧州のカードは数百ドルの儲けになるという。利益は想像に難くない。だが私が見たときには、そのデータはすでにその年分保存されており、かなり前にロンダリングされていた」

しかし、すべてのハッカーがこの業界に携わっているわけではありません。ホワイトハットハッカーと呼ばれるタイプのハッカーがいます。彼らは主に独自の技術を使用してネットワークやシステムのパフォーマンスをテストし、この方法で利益を得ることはありません。

今回Ctripの脆弱性を暴露したのは、Wuyunプラットフォームの中核ホワイトハットハッカーであるPigsyだ。彼のWeibo上のIDは英語名の文字列であり、5桁のQQ番号には別の3文字の中国語名が使われている。 Pigsy には素晴らしい実績があります。彼が脆弱性を発見した企業には、Ctrip、Tencent、Youku、NetEase、Shanda などがあります。Wuyun だけで公開された脆弱性の数は 125 件に達しています。

Sina Technologyは「なぜこれほど多くの抜け穴を見つけることができるのか？」と質問した。

Pigsy は次のように答えました。「製品を使いやすくするために、製品マネージャーはさまざまなデータを収集し、製品エクスペリエンスを向上させます。」

会話の中で、猪八戒は何らかの外部からの圧力を感じているようだった。彼はSina Technologyに対し、近い将来Ctripの脆弱性についてあまりコメントしたくない、関係部門がすでにこの件に介入していると語った。さらに、彼はWeiboで次のように述べた。「セキュリティテストに関わるログ情報を完全に削除しました。Ctripも適時に脆弱性を修正しました。」

Ctripが報酬を提供するという主張に関して、朱朱霞氏はそれを真剣に受け止めていないと述べた。実際、Ctrip の脆弱性に注目が集まった程度は、ペッパピッグの予想を超えていました。彼は後に、脆弱性が金銭に直接関係していたためかもしれないと結論付けました。

「本当に広まるべきはこの脆弱性だ」と、ピグシーはSina Technologyにリンクを貼った。それは、3月21日14時10分にWuyunプラットフォームで公開された、54204番の脆弱性レポートだった。

報告書によると、テンセントQQクライアントのデフォルトのインストールスペースには重大なセキュリティ上の欠陥があり、ハッカーがリモートで友人のClientKEYを取得できる可能性がある。別の脆弱性と組み合わせると、テンセントのシングルサインオンシステムのIPアクセス制限を回避し、QQスペース、QQフォトアルバム、QQメールボックス、テンセントWeiboなど、友人のQQビジネスシステム全体にログインすることが可能になる。

明らかに、これにはより大きなプライバシーリスクが潜んでいる。記事執筆時点では、Sina Technology はこの点に関して Tencent からの回答を受け取っていない。

原題: Ctripの脆弱性が暴露された後: 地下産業チェーンが関与したホワイトハットハッカーと話をした

キーワード: Ctrip、ユーザー プライバシー、脆弱性、Ctrip の脆弱性の露出