piyolog

piyokangoの備忘録です。セキュリティの出来事を中心にまとめています。このサイトはGoogle Analyticsを利用しています。

三菱UFJ銀行が不正アクセスを受けた通信暗号化装置について調べてみた

三菱UFJ銀行は法人顧客向けに提供するローカルキャッシュマネジメントサービスの認証システムで利用する通信暗号化装置が不正アクセスを受け、海外拠点の顧客の口座情報等が外部に流出したと発表しました。ここでは関連する情報と発表で言及があった「通信暗号化装置」についてpiyokangoが調べた情報をまとめます。

不正アクセス原因は通信暗号化装置の脆弱性

  • 通信暗号化装置の具体的な製品名は記載無し。
  • インターネット経由でLCMSに接続する際にユーザー認証し、通信を暗号化するための装置といった説明。
  • 外部からの不正アクセスはこの装置に対して行われた。原因は脆弱性が存在したため。
  • 通信暗号化装置の脆弱性はバージョンアップにて対応された。
タイムラインの整理
  • 関連する事象を時系列に整理すると以下の通り。
日時 出来事
2019年9月25日 通信暗号化装置への不正アクセスが発生。*1
2019年10月4日 三菱UFJ銀行が通信暗号化装置への不正アクセスを認識。
三菱UFJ銀行から影響を受けた法人顧客へ説明。
2019年10月25日 三菱UFJ銀行が不正アクセス被害を発表。
不正アクセスにより流出した情報
  • LCMSを利用する台湾に拠点を置く法人顧客13社に関連する次の情報が流出。
  • 第三者に関する情報は1,305件(9月25日~10月3日までの取引)が影響を受けた。*2
    • 台湾拠点の法人顧客の口座情報
    • 台湾拠点の法人顧客の振込先名、金額等の取引明細
    • 台湾拠点の法人顧客の取引明細に含まれる取引先、従業員等第三者に関する情報
  • 三菱UFJ銀行は発表時点で影響を受けた顧客は特定済で個別の説明も済んでいる。13社の内、12社は日系の企業。
  • 発表時点で流出した情報の二次被害は確認されていない。
  • 第三者に関する情報は顧客側の意向を踏まえて対応をとる方針。
  • 流出した情報にはID、パスワードは含まれていない。この情報を使って送金などもできないと説明。
  • 台湾の現地法人である三菱日聯銀行も発表をしている。台北支店と高雄支店が影響を受けた。*3

以下はpiyokangoが確認した非公式情報です。

「通信暗号化装置」とは何だったのか調べてみる

  • 台湾向けのローカルキャッシュマネジメントサービスと説明があることから、具体的にはBTMU-TCMS(Taiwan Cash Management Service)が不正アクセスの影響を受けたとみられる。
  • BTMU-TCMSは2007年10月に開始された台湾専用のインターネットバンキングサービス。
  • 三菱東京UFJ銀行(当時)のインタビュー記事では「台湾固有のニーズ」に対応するためにローカルのシステムを構築したと説明されている。
  • TCMS等のキャッシュマネジメントサービスは次のページよりアクセスすることができる。

f:id:piyokango:20191029052108p:plain
三菱UFJ銀行CMSメニューページ

Pulse Secure 製品と酷似したログインページ
  • メニューページ中にあるTCMS(Taiwan)をクリックするとログインページが表示される。

f:id:piyokango:20191029052234p:plain
TCMSのログインページ

  • このログインページを確認したところ、TCMSの認証システムにはPulse Secure社のSSL VPN製品が利用されているものとみられる。
    • 三菱UFJ銀行用にカスタマイズされているが、HTMLやJavaScriptなどがPulse Secure社の同製品のものと酷似。
    • URLの文字列/dana-na/auth/url_default/welcome.cgiがPulse Secure社の同製品のものと同一。
    • 同製品に共通して存在する特徴的なTYPOJavaSriptがTCMSのログインページにも存在する。
    • バージョン情報等を取得できるテキストファイルより、「Pulse Secure Network Connect 8.2」の文字列が存在。
    • shodanでもPulse Secure社製品が稼働しているといった分析をしている。

f:id:piyokango:20191029052727p:plain
Pulse Secure社特有のTYPO JavaSriptがTCMSのページ中にも存在

  • 広報発表、公開情報、時期を踏まえるとPulse Secure社製品とみられる認証システムが不正アクセスを受けたと考えられるが、10月28日時点で報道等で裏付けをする情報はなく、あくまでもpiyokangoの推測であり、断定させる確証がないことには留意が必要
9月にJPCERT/CCが注意喚起
  • Pulse Secure社のSSL VPN製品に深刻な脆弱性が存在し、既に攻撃も発生しているとして2019年9月6日にJPCERT/CCより注意喚起が行われていた。
  • 脆弱性はCVE-2019-11510で識別されているもの。検証コードや動画も公開されている。

piyolog.hatenadiary.jp

  • CVE-2019-11510の影響を受ける製品を調査しているBad Packetsによれば10月23日時点で日本にはまだ600台以上の製品が存在するとのこと。


更新履歴

  • 2019年10月29日 AM 新規作成

*1:三菱UFJ銀行の台湾法人向けネットバンキングで情報漏洩、口座番号など1305件流出,日経xTech,2019年10月25日

*2:三菱UFJに不正アクセス=台湾拠点の顧客情報が漏えい,時事通信,2019年10月25日

*3:三菱日聯銀、不正アクセスで一部情報漏えい,NAA ASIA,2019年10月28日