タイムラインの整理

• 関連する事象を時系列に整理すると以下の通り。

不正アクセスにより流出した情報

• LCMSを利用する台湾に拠点を置く法人顧客13社に関連する次の情報が流出。
• 第三者に関する情報は1,305件（9月25日～10月3日までの取引）が影響を受けた。*2
  • 台湾拠点の法人顧客の口座情報
  • 台湾拠点の法人顧客の振込先名、金額等の取引明細
  • 台湾拠点の法人顧客の取引明細に含まれる取引先、従業員等第三者に関する情報
• 三菱UFJ銀行は発表時点で影響を受けた顧客は特定済で個別の説明も済んでいる。13社の内、12社は日系の企業。
• 発表時点で流出した情報の二次被害は確認されていない。
• 第三者に関する情報は顧客側の意向を踏まえて対応をとる方針。
• 流出した情報にはID、パスワードは含まれていない。この情報を使って送金などもできないと説明。
• 台湾の現地法人である三菱日聯銀行も発表をしている。台北支店と高雄支店が影響を受けた。*3

以下はpiyokangoが確認した非公式情報です。

Pulse Secure 製品と酷似したログインページ

• メニューページ中にあるTCMS（Taiwan）をクリックするとログインページが表示される。

• このログインページを確認したところ、TCMSの認証システムにはPulse Secure社のSSL VPN製品が利用されているものとみられる。
  • 三菱UFJ銀行用にカスタマイズされているが、HTMLやJavaScriptなどがPulse Secure社の同製品のものと酷似。
  • URLの文字列/dana-na/auth/url_default/welcome.cgiがPulse Secure社の同製品のものと同一。
  • 同製品に共通して存在する特徴的なTYPOJavaSriptがTCMSのログインページにも存在する。
  • バージョン情報等を取得できるテキストファイルより、「Pulse Secure Network Connect 8.2」の文字列が存在。
  • shodanでもPulse Secure社製品が稼働しているといった分析をしている。

• 広報発表、公開情報、時期を踏まえるとPulse Secure社製品とみられる認証システムが不正アクセスを受けたと考えられるが、10月28日時点で報道等で裏付けをする情報はなく、あくまでもpiyokangoの推測であり、断定させる確証がないことには留意が必要。

9月にJPCERT/CCが注意喚起

• Pulse Secure社のSSL VPN製品に深刻な脆弱性が存在し、既に攻撃も発生しているとして2019年9月6日にJPCERT/CCより注意喚起が行われていた。
• 脆弱性はCVE-2019-11510で識別されているもの。検証コードや動画も公開されている。

piyolog.hatenadiary.jp

• CVE-2019-11510の影響を受ける製品を調査しているBad Packetsによれば10月23日時点で日本にはまだ600台以上の製品が存在するとのこと。

Total vulnerable Pulse Secure VPN servers by country:
🇺🇸 United States: 1,763
🇯🇵 Japan: 635
🇬🇧 United Kingdom: 370
🇫🇷 France: 256
🇰🇷 South Korea: 238
🇩🇪 Germany: 176
🇨🇳 China: 160
🇧🇪 Belgium: 119
🇭🇰 Hong Kong: 112
🇨🇦 Canada: 102
All others: 1,354https://t.co/CRr50eFNjv

— Bad Packets Report (@bad_packets) 2019年10月22日