Checkout.comがハッキング被害!身代金支払いを拒否、セキュリティラボに寄付する異例の対応
引用元:https://news.ycombinator.com/item?id=45912698
数年前にShinyHuntersのメンバーがFBIに逮捕されたの、覚えてる?俺、Sebastian Raoultっていう彼らの一人と刑務所で一緒だったんだ。
彼らが大規模なフィッシングをやるための粘り強さってすごくてさ、それがアクセスの大部分だったんだ。GitHubでAPIエンドポイントを探したり、漏洩したキーがないかチェックしたりもしてたんだって。
https://www.justice.gov/usao-wdwa/pr/member-notorious-intern…
サイバーセキュリティって結局、人間が一番弱いんだよね。だから彼らがソーシャルエンジニアリングでアクセスしてたって聞いても、全然驚かないよ。
彼ら自身も、もしかしたらソーシャルエンジニアリングの被害者なのかも。だって、オンラインゲームのexploit作って子供たちをscript kiddiesにするなんて、誰が得するの?自分で犯罪を犯さずに、サイバー犯罪で稼ぐ方が楽で安全だもんね。
これってちょっとフェアじゃないと思うな。だって、人間って正しい判断をするためのツールをちゃんと与えられてないことが多いじゃん?
例えば、金融機関に関わらず529プランに寄付するには、適当なugift529.comとかいうサイトに行ってコードと全金融情報を入力するんだよ。これ、普通にフィッシングとしか思えないじゃん。
あと、データ漏洩の集団訴訟で和解金を受け取るにも、また別の適当なサイトに行って、漏洩した情報よりもさらに個人情報を入力しなきゃいけないんだ。もうめちゃくちゃだよね。これじゃ、みんなフィッシングに引っかかる行動を訓練されてるようなもんだよ。
マジックリンクやパスワードリセットのメールで、リンクをクリックするのがOKだって訓練されてるのも忘れちゃいけないよね。
そう、俺たちソフトウェア業界は、長いことみんなにダメなOpSecを実践させてきたんだ。だから、企業のサイバーセキュリティ研修が効果ないのも全然驚かないよ。自分たちで自分たちのルールを破りまくってるんだから。
自分が誰かを明かさずに、自分が誰であるかを伝える方法があるべきだよね。
スマホやPCベースの生体認証とか?
“理論上は犯罪に使えても、そういうマーケティングをしない限り違法じゃないプレミアムソフトウェア”って、非政府の攻撃者に売って誰が儲けてるんだろう?
攻撃者たちはどうせpirateするんじゃない?
もう誰もそんな代替手段を発明してないのかな?
サイトの特定の場所にコードを入力させるためにメールでコードを送る、とか考えたけど、それだとみんながコードを全部スキャンできちゃう。それを解決するために、コードを長い64bit文字列にできるけど、それだと覚えられない。じゃあ自動でその情報を含めてサイトに誘導する機能を提供すればいいかってなると、結局またリンクと同じになっちゃうし。もしかしてみんながコピペする前提ならうまくいくかも?
アパートの申し込みで信用調査する時に、Craigslistでしか知らない相手からのメールで送られてきたサイトに個人情報を入力するんだけど、それってヤバくない?2/3くらいはフィッシング詐欺だし、見分けるのも大変だよ。
みんなも気をつけてね。
メールや電話だけで部屋を見ずに申し込むようなら、そりゃ詐欺師に狙われる層になっても仕方ないよな。自業自得ってこと?
それってHNでは昔から当たり前のことだよ。AIが出てくる前からずっと変わらない。嫌な気分になるけど、こういうもんだよ。でも、そんな説教じみたこと言っても効果ないと思うけどね。
突然の転職で別の街に引っ越すことになって、週末にできるだけたくさん内見しようとしてる時とかは、どうするの?そういう状況もあるじゃん。
Portswigger(Burp Suite)とか、Cobalt Strike(C2)みたいな会社ってたくさんあるよね。
パスキーって、まさしくそれ(セキュリティ強化)のためにあるんじゃないの?スマホでパスキー使うには生体認証が必要だし、Windows Helloもカメラで認証するじゃん。すごくシームレスで使いやすいし、メールやコードで認証するより断然好きだよ。
IDA Proもそういうもの(セキュリティツール)に入ると思うな。
PGP署名のこと?
こういうソフトって、クリアネットでもダークネットでも色んなフォーラムで売られてるよね。攻撃者は海賊版を使わないの?って思うかもしれないけど、SaaS形式だったり、DRMが強かったりするんだ。それに、ウイルス対策ソフトに検知されないように、常にアップデートが必要だから、ちゃんとしたライセンスが必要なんだよ。
悪意のある攻撃者なら、そんなの海賊版使うんじゃないの?ライセンス料を払うのはちゃんとした会社だけだと思ってたんだけど。
Adtech企業の共同創設者の話だけど、彼のプラットフォームがクリック詐欺や詐欺師に悪用されてるって分かっても、彼は軽く見てたんだって。ギフトカードをマネーロンダリングに使うショップとか、Bitcoinを受け付けてる店も結構あるんじゃないかな。そういうのはサイバー犯罪に間接的に使われてるけど、もっと直接的なツールもたくさんあるはずだよ。
GitHubの自動スキャナーに関してだけど、スキャナーが効果的でビジネスの邪魔になったから嫌ってたってこと?それとも、スキャナーが使い物にならなくて評価が低かったってことかな?
昔働いてた会社で、AdClickと従来の印刷物の間で裁定取引みたいなことしてたんだ。特にモバイルのトラフィックの多くは、明らかに幼児か悪質なBotだったのに、顧客には’エンゲージメント’として請求してたよ。
数十億ドル規模の会社で、社内にレッドチームがあったんだ。彼らはほとんど独立した会社みたいに活動してたけど、オフィス内にいたよ。そこにいた間に彼らと15回くらい作戦に関わったけど、いつも6時間以内にC&Cを掌握してたね。毎回フィッシングが原因だったよ。
セキュリティメカニズムは全部人間が作ったものだから、それはそうだよ。でも、100人に1人が決まってフィッシングメールのリンクをクリックするからって、ユーザーに責任を負わせるのは、統計もセキュリティもダメだってことだよ。
これはすごくアメリカ特有の問題で、政府が全部民間部門に外注してるのが主な原因だよ。このランダムなウェブサイトや怪しいサードパーティが増殖してるのも、その結果の一つだね。
PGP/GPGは34年間も一般に普及してないよね。俺自身も過去25年くらいはキー持ってるけどさ。
話してるフォーラムってサイバー犯罪フォーラムのことだよね?それって”サイバー犯罪向けに販売されてる”ってことじゃん。サイバー犯罪向けじゃないものってあるの?
Checkout.comの謝罪文の一部が素晴らしいね。
LLMかPR危機チームが書いたって言う人もいるだろうけど、そうだとしても脱帽だわ。力強くて感動的。この会社は本当に責任を取ってる感じがするよ。
BPの”申し訳ありません”っていうサウスパークのパロディを思い出すわ。謝罪なんかどうでもいい。原因究明と再発防止策を教えろよ。他にどれだけ古いサードパーティシステムが顧客データを扱ってたんだ?予算をケチったのは誰だ?本当に謝るなら金払え。言葉だけじゃ意味ないんだよ。
そんなに急ぐなよ。みんなハッキングされるもんだ。Checkout.comの対応は今まで見た中でもマシな方だよ。他のシステム監査の話は、Ebayくらいしかやらないから無理。予算の話は予防のパラドックスだな。言葉だけじゃダメだけど、少なくとも正しい言葉を使おうとはしてる。あとは行動が伴うかどうかだ。
みんながハッキングされるわけじゃないよ。Google、Amazon、Metaとかはされてないし。
みんなハッキングされるって言うけど、まずは被害を最小限にするアプローチが大事なんじゃない?システムを簡素化したり、データ収集を必要最低限にしたり、データベースのテストを徹底するとかさ。俺の親父が『謝るんじゃなくて、問題を起こす行動を避けろ』って言ってたのを思い出すよ。
もっとコメントを表示(1)
言葉は安っぽいけど、『申し訳ありません』って企業が言うのは意外と珍しいんだよね。たいていごまかしたり、責任転嫁したりするから、こう言ってくれるのは新鮮だわ。
これは典型的な偽の謝罪だね。『パートナーや人々にご心配をおかけしたことを後悔している』って、データ盗難を謝ってるわけじゃなくて、心配させたことを後悔してるだけ。再発防止策や原因も不明だし。さらに『レガシーなサードパーティ』、『25%未満』って過少評価してるのも気になるね。
どういう言葉を使えば、偽りの謝罪と思われないんだろう?過少評価って言うけど、被害範囲を具体的に示してるし、25%未満って他にどう言えばいいんだ?昔使ってた加盟店登録データだって言ってるし。企業の表面的な対応にはうんざりだけど、今回の返答はかなり具体的で誠実な方だと思うね。
今回のハッキングは2020年から使われていなかった古いストレージアカウントが原因だよ。君の提案でそれが防げたとは思えないな。
何百年も何十年もハッキング事件がない会社なんて山ほどあるよ。みんなハッキングされるなんていうのは、セキュリティ基準の欠如か、放置された古いシステムをオンラインにし続けた言い訳だね。それを堂々と発表するのは取引があるなら心配になるよ。能力不足じゃなくて、衛生面の問題だよ。
息子に謝るなと教えるなんて変だよ。問題を起こす行動を避けるのは自分のためだけど、被害者には謝罪が必要なんだから。
データ抽出を伴うハッキング事件がない会社を5つ挙げてみろよ。
N日後に古いアカウントを削除するポリシーみたいな予防保守があれば防げたはずだよ。他の企業の失敗から学ぶべきだね。俺はControls Techとして、お客様に最高の成果と最低限のリスクでマシンを運用する方法を教えてるけど、指示に従わないクライアントは結局、俺に高い請求をすることになるんだ。考えずに物事を行うと、重大な障害点を見落としがちだよね。
俺が管理してるアプリでは、1年後に非アクティブアカウントを削除するポリシーがあるよ。承認されたサインアップも30日で削除してる。それでも監視は必要で、数日前に古いアカウントが乗っ取られたからすぐに削除したよ。手動での監視が多くて、厳格なプライバシー規則のせいでセキュリティ監視が少し難しくなってるんだ。
Googleも今年6月にハッキングされたみたいだよ。詳しくはこの記事を見てね: https://cloud.google.com/blog/topics/threat-intelligence/voi… と https://www.forbes.com/sites/daveywinder/2025/08/09/google-c…
これらは素晴らしい実践だね。データは資産じゃなくて負債だから、できるだけ早く処分すべきだよ。IDのHashを保存して、以前登録したアカウントでの再登録を防ぐのもいいね。
pedanticな回答は、電子的な存在がないペーパーカンパニーを挙げることかな。でも、実際のビジネスで言えば、近所のドライクリーニング店とか個人経営のレストラン、洗車場なんかは、ハッキングによるデータ抽出の被害には遭ってない可能性が高いだろうね。攻撃対象が最小限で、積極的に狙われないのが大きな利点だよ。
厳しい意見だけど、犯人の逮捕と有罪判決につながる情報には50万ドルを支払うべきだね。もし犯人がアメリカに引き渡しができない国にいるなら、その首に50万ドルを払うってのはどうだ?
SalesforceがやられたのはGoogle本体のセキュリティ問題とは別物だよ。Googleのアパートじゃなくて、Uhaulの貸倉庫が破られたようなもんさ。技術的には合ってるけど、俺のアパートのセキュリティの完全性とは意味合いが違うだろ。
偽物の謝罪にならないようにするには、「自分たちが悪いことをしたからごめん」って言うべきだよ。「セキュリティを疎かにしたせいでこの事態を招いたことを後悔してる」って、シンプルに言えばいいじゃん。相手が気分悪いことに謝るんじゃなくて、自分が悪いことしたことに謝るんだ。
いやいや。中国はGmail(Google)に侵入して、David Petraeusのメールを手に入れて、彼のキャリアを終わらせたんだぜ。大手3社は間違いなくハッキングされてるし、それはずっと前からで、ただ公表してないだけさ。俺、大手でセキュリティやってるからわかる。
プライバシーポリシー違反になるから、「全情報削除」はユーザーが初めてログインしてからの全部を消すべきなんだ。Appleもこれを許さないだろうし、法的な保持義務もないしね。情報漏洩でユーザーがヤバいことになる可能性もあるから、管理は大変だけど、できるだけ情報を残さず、削除時は全部ぶっ壊してるよ。
俺は「ごめんなさい」って言うと金銭補償につながるけど、「心配させてごめんね」だとそうじゃないって思ってるんだ。俺の国、The Netherlandsの王様や首相が植民地時代の残虐行為について本当の意味で謝らないのは、金銭的な賠償を恐れてるからさ。謝罪に聞こえる言葉は探してるけど、行動が伴わないんだよね。
(参照: https://www.maastrichtuniversity.nl/blog/2022/10/how-do-dutc…)
この投稿、好きだな。ネットで誰かがミスを謝罪すると、必ず「そんなの本当の謝罪じゃない」とか「俺ならこうする」って偉そうに言う奴が出てくるよね。
そういう奴らは全てのミスを防ごうとして破産するから、テック企業のシニアマネージャーにはなれないよ。親父も「保険で身を滅ぼすな」って言ってたけど、ビジネスにはリスクも必要だ。もちろんセキュリティを怠るべきじゃないけど、努力には妥当な限度があるってことさ。
それにしても、「みんな遅かれ早かれハッキングされる」って言うけど、GMailがどうしてこんなにハッキングされないのか不思議なんだ。俺、Googleのパスワード10年くらい変えてないのに無事なんだよ。Googleはハッキングされてるけど、秘密にしてるのかな?まじで知りたい。
侵害されたことのない会社なんて絶対にあるし、そんなに難しくないよ。多層防御さえすればいいんだ。
子供に教えることは変じゃないって。それは「5-why’s」みたいな根本原因分析で、他人を傷つけない人間を育てるはずさ。同じ親が、いつ、なんで謝るのが正しいのかも教えてるって信じたいな。
多層防御って、防御の一部が突破されるのが前提なんじゃないの?
ありがとう、俺が言いたかったこと、まさにそれだよ。元のコメントでもっとはっきりさせればよかったな。俺の育児スタイルは、自己反省と、行動する前にその影響を分析する能力を育むことなんだ。
もちろん、誰かに明確に悪いことしちゃった時は謝るのも大事だよ。俺が子供に「絶対に謝るな」って教えてるんじゃなくて、「行動する前に考えろ」って教えてるだけなんだよね。でも、まぁ、言いたいことはわかってもらえると嬉しいな。
ごめん、俺が言いたかったのは「同じ間違いやトラブルを繰り返すなら、そんなに謝りすぎるな」ってことだよ。別に、子供に「謝るな」って教えてるわけじゃないからね。
「近所のドライクリーニング店やレストラン、洗車場なんかがハッキングされてない可能性は十分にある」って言うけどさ、されてる可能性だって十分あるだろ?中小企業を狙ったランサムウェアが何年も流行ってたじゃん?
South Parkのネタは、BPが悪事を働いて捕まったときに企業のお詫び声明を出すのを皮肉ってたんだよ。でも、Checkout.comは犯罪の被害者で、影響を受けた顧客と同じ。加害者以外、みんな損してるんだ。Checkout.comが顧客を意図的に誤解させたかのように「裏切られた」なんて言うのは、重い非難だよ。結局、できることは謝罪して、可能なら補償して、再発防止策を練ることしかないんだから。
もし俺が顧客だったら頭にくるけど、こんなインシデントへの対応としては最高レベルだと思うよ。タイミングの良い対応、第三者じゃなく会社からの初期開示、本気の反省と後悔、ターゲットと範囲のきちんとした説明。声明について皮肉る気持ちもわかるけど、過去に情報漏洩した他の会社を見てみろよ。これだけのポイント全部クリアしてる会社なんてほとんどないからね。
「こんな事件への対応として最高レベル」って言うけどさ、顧客からしたら「このデータが広く出回る可能性を減らすため、我々は身代金を支払いました」って言う方が、一部には嫌がられるだろうけど、多分良いんじゃないかな。あと、本当に透明性を保つなら、詳細な事後報告と、そこで(おそらく)見つかった他の問題も詳しく書いた監査結果を投稿するのが良いと思うよ。
俺は強く反対するよ。身代金を払ったら、みんなが危険に晒されることになるからね。
ランサムウェアの支払いがスーパー普通じゃない架空の世界なら、俺も全面的に君に賛成するよ。だけど、この支払いを阻止する法律ができるまでは、支払うのが最善の選択肢になる状況が山ほどあるんだ。
もっとコメントを表示(2)
顧客として、身代金の被害者である会社が、自分たちのビジネスとデータを危険に晒したまさにそのグループに資金援助するのを、君は望むってこと?
身代金の支払いって合法じゃないだろ?攻撃者が会計用のちゃんとした請求書をくれるわけないし。会社が大量のCrypto(暗号通貨)を買って、適当な誰かに送金するなんてできないはずだよ。
絶対に身代金は払うな。脅迫犯はデータを破壊したなんて証明できないし、どうせ最終的には売るんだから。自分たちの“評判”とか“正当性”を示すために少し待つだけだよ。とにかく払わない方がいい。
もちろん、俺のデータや顧客のデータがネットに晒される可能性が低くなるのはいいことだ。最高じゃないけど、一番マシな選択肢だよね。
身代金払っても、やつらが闇ウェブでデータ売らない保証なんてないじゃん?詐欺に遭ってさらに金払うのと同じだよ。犯罪者を信用するなんてありえないし、君のデータはもう流出してると諦めて、被害を減らすことに集中すべきだね。
『迅速な対応』って、どの辺が?ハッキングを自分たちで見つけたわけじゃなくて、ハッカーが先週連絡してきて初めて知って、今日になってやっと認めたんだろ?全然迅速じゃないじゃん。
身代金払うのって、相手が制裁対象じゃなければ、ほとんどの西側諸国で合法だよ。
『企業が大量のCryptoを適当に送るなんてできない』って言うけど、全然できるじゃん?なんでできないって思うの?
もしそんなことしょっちゅうなら、君の言ってることは簡単に証明できるはずだよね。盗まれたデータベースって大体公に売られてるし。
ランサムウェアグループは身代金で莫大な金稼いでるから、データを売って本業を潰すなんて、ゲーム理論的に考えても割に合わないってのが当たり前だよ。
いや、そんなの顧客として俺を助けることにはならないね。会社が約束を守るとは信じられないし、確認もできないから、不安はずっと残るだろ。いいことと言えば、あのクソどもが次のターゲットを狙う予算が減ったことだけだ。みんなで団結して狼から身を守るべきで、誰が犠牲になるか考えるのは違うだろ。
俺、自分でHave I Been Pwnedの監査とかやってて、色んな会社のブログ記事読んだんだけどさ、インシデントから何ヶ月も経ってから開示されることって、別に珍しくなかったよ。
企業が『ごめんなさい』だけで済ませるなら、この業界はもっとひどいことになるよ。刑事責任や顧客への返金、規制当局の介入が必要だ。企業が不要なデータを溜め込んで顧客を危険に晒すような慣行は、もっと厳しく見直されるべきだね。
ああ、犯罪者グループに金渡して、ハッキング続けるモチベーションを与えるってことね。
彼らのインセンティブは明らかだよね。信頼しなくても合理的に動くと仮定できる。数百万ドル稼げる本業があるのに、せいぜい数十万ドルのデータを売って本業をリスクに晒すなんて、割に合わないよ。ランサムウェアグループが約束を破ると知られてたら、IR会社だって支払いを勧めないだろうし。
詐欺だからね。会社のお金勝手に使うわけにはいかないし、帳簿に記載できないでしょ。
実際は支払いってよくあることだし、一部の企業が拒否しても意味ないよ。支払いが違法にならない限り、Ransomwareは儲かる一方さ。攻撃費用なんて数千ドルなのに、身代金は数百万ドル。払わない選択肢は経済的に成り立たないよ。
データがRansomwareグループのどこかにあるのと、公開サイトに晒されるのとでは全然違うよ。支払えば多少マシな方向に行くんだ。正直、Ransomwareの支払いってめちゃくちゃ多いし、数社が拒否したところで大勢に影響はないね。世界中で支払いを違法にしたらいいんだけどさ、現状じゃ個別の拒否は無意味だよ。
ちょっと調べたら、Ransom攻撃では泥棒同士の”義理”みたいなのがあるらしいね。でも、場所によっては支払いが違法だったり、手続きが面倒だったりするんだ。それに、奴らがデータを持っておいて、後で売ったりしないとも限らない。復旧ツールも当てにならないし。正直、俺は支払わない方が良いと思う。奴らを資金援助して他の被害者を出すのも嫌だし、法的なリスクも避けたいね。
犯罪の内容によるよね?今回は古いデータで、最悪でも5年以上前の連絡先情報だったみたいだし(”当時の内部業務文書と加盟店オンボーディング資料”って書いてあったね)。この程度の漏洩なら、彼らの対応は正しいと思うな。ShinyHuntersに金を見せつけておいて、敵に寄付するのは最高だろ。
帳簿には”Ransomware支払い”って書けばいいじゃん。
うん、最悪だよな。全然”Timely”とは言えない。あんたは”Timely”ってのが相対的で、他との比較で決まるって言いたいの?個人的には、遅いものは遅いと思うんだけど、人によっては違うんだろうな。
どんな請求書とか領収書を付ければいいわけ?
支払いが違法な場所は思いつかないな。手続きはIR会社がプロとしてやってくれるよ。復旧ツールもIR会社は独自のやつを持ってて、ジャンクなツールを改良してるんだ。データ販売は割に合わないよ。Ransomは数百万ドルなのに、ほとんどのデータベースは10万ドル程度の価値しかない。副業みたいなもので、本業を潰すだけだね。法的なリスクについても、UK政府は制裁対象のグループへの支払いもOKってガイドラインを出してるくらいだよ。残念ながら、支払い自体がめちゃくちゃ一般的だから、数社が拒否したところで何も変わらないんだ。
支払いが違法じゃないって、なんで断言できるの?制裁対象の個人や国、Terrorist Organizationとかに払ってる可能性だってあるじゃん。
