詐欺師が政府のウェブサイトにハッキングサービスの広告を掲載

テッククランチイベント

一部の文書には、何年もオンライン上に存在していた可能性があることを示唆する日付が付けられています。

これらの広告は、Citizen Labのシニアリサーチャー、ジョン・スコット＝レールトン氏によって発見されました。彼が発見したサイト（そして私たちがリストアップしたサイト）が、この大規模なスパムキャンペーンの影響を受けたサイトの完全なリストであるかどうかは不明です。また、非常に多くのウェブサイトで非常に類似した広告が表示されていたことを考えると、これらすべての背後には同一のグループまたは個人がいる可能性があります。

「SEO対策のPDFアップロードは、免疫システムが抑制されているときに蔓延する日和見感染症のようなものです。サービスの設定ミス、CMS（コンテンツ管理システム）のバグ、その他のセキュリティ問題などがあると、この感染症が蔓延します」とスコット＝レールトン氏は述べています。

このキャンペーンは複雑かつ大規模で、詐欺サービスを宣伝するための一見無害なSEO対策のように見えるが、スコット・レールトン氏によると、悪意のあるハッカーが同じ欠陥を悪用して、もっと大きな被害を与える可能性もあるという。

「今回のケースでは、アップロードされたPDFには詐欺サービスへのリンクが記載されたテキストが含まれていましたが、私たちの知る限り、そのサービスも悪質である可能性があります。しかし、悪質なコンテンツを含むPDFや、悪質なリンクをアップロードしていた可能性も十分にあります」と彼は述べた。

米国サイバーセキュリティ機関CISAの広報担当者ジー・ザマン氏は、「一部の政府機関や大学のウェブサイトが検索エンジン最適化（SEO）スパムをホストするために侵入されたとみられる事例を認識しています。影響を受けた可能性のある組織と連携し、必要に応じて支援を提供しています」と述べました。

TechCrunchはPDFで宣伝されているウェブサイトのいくつかを調査したところ、クリック詐欺によって金銭を得るための複雑な計画の一部であることが判明しました。サイバー犯罪者はオープンソースツールを用いてポップアップを作成し、訪問者が人間であることを確認していますが、実際には裏で金銭を稼いでいるようです。ウェブサイトのソースコードを調査したところ、少なくとも1つのサイトで被害者とされる人物のプロフィール写真と名前が表示されていたにもかかわらず、宣伝されているハッキングサービスは偽物である可能性が高いことが示唆されました。

複数の被害者はTechCrunchに対し、これらの事件は必ずしも侵害の兆候ではなく、むしろ詐欺師がオンラインフォームやコンテンツ管理システム（CMS）ソフトウェアの欠陥を悪用し、PDFを自分のサイトにアップロードできた結果であると語った。

被害に遭った3つの団体（ジョージア州ジョンズクリーク市、ワシントン大学、スポケーン・コミュニティカレッジ）の代表者はいずれも、問題はKentico CMSと呼ばれるコンテンツ管理システムにあると述べた。

全てのサイトがどのように影響を受けたのかは完全には明らかではない。しかし、カリフォルニア州魚類野生生物局と英国バッキンガム大学という2つの異なる被害者の代表者は、ケンティコについては言及せずに、一見同じと思われる手法について説明した。

「外部の人物が私たちの報告メカニズムの一つを悪用し、写真ではなくPDFをアップロードしたようです」とカリフォルニア州魚類野生生物局のサイバーセキュリティ専門家デビッド・ペレス氏はTechCrunchに語った。

同局には、密猟や負傷した動物の目撃情報など、市民が報告できるページが複数あります。広報担当副局長のジョーダン・トラヴェルソ氏は、病気や死んだコウモリを報告するためのフォームの設定ミスがあったものの、サイトが「実際に侵害されたわけではない」ため、問題は解決し、同局は該当の文書を削除したと述べています。

バッキンガム大学の広報担当者、ロジャー・パーキンス氏は、「これらのページはハッキングによるものではなく、フォームの使用によって生じた古い『悪質なページ』です。基本的にはスパムであり、現在削除中です。（中略）これらの人物が悪用した公開フォーム（現在は存在しません）がありました」と述べた。

影響を受けた機関の一つであるワシントン州消防局長協会の広報担当者、トリ・ペティス氏は、TechCrunchに対し、ファイルは削除されたと述べた。ペティス氏は、問題がKentico側にあるかどうかは不明だと述べ、「サイトはハッキングされていませんが、以前は新規会員がプロフィール作成が完了する前にファイルをアップロードできる脆弱性がありました」と説明した。

ジョンズクリーク町のシニアコミュニケーションマネージャー、ジェニファー・チャップマン氏は、「ホスティング会社と協力して問題のPDFを削除し、問題を解決しました」と述べた。

コミュニティ生活局の広報担当官アン・モッシャー氏は、これらのページは「削除された」と述べた。

カリフォルニア大学サンディエゴ校の大学広報担当副ディレクター、レスリー・セプカ氏は、「このサイトに無許可のPDFがアップロードされました。ファイルは削除され、今後の無許可アクセスを防ぐための変更が加えられました。また、ウェブサイトにアクセスできるすべてのユーザーにパスワードの再設定を依頼しました」と述べました。

ワシントン大学の広報担当者、ビクター・バルタ氏は、「この問題は、ウェブサイト上の古くて脆弱なプラグインモジュールに起因していると思われる。このプラグインモジュールによって、コンテンツが公共の場にアップロードされることが可能になっていた」と述べた。さらに、「当該システムへのアクセスやデータへの深刻な影響や侵害の兆候は見られない」と付け加えた。

バルタ氏はこの問題をケンティコのせいだと主張した。

スポケーン・コミュニティカレッジの技術サービス担当ディレクター、トーマス・イングル氏は、問題はケンティコを実行しているWindowsサーバーにあり、「乗っ取られた他のサーバーが参照していた文書（この場合はあなたが参照したPDF）がアップロードされていた」と述べた。

カリフォルニア大学バークレー校の広報担当者ジャネット・ギルモア氏は、ハッキング広告が掲載されたサイトについて「このウェブサイトに脆弱性が見つかりました」と述べ、「今後このようなことが再び起こらないように」問題を修正したと語った。

残りの組織はTechCrunchの問い合わせに回答しなかった。Kentico Softwareに何度か電話とメールを送ったが、返答はなかった。しかし、記事掲載後まもなく、Kenticoは「過去に侵害されたウェブサイトについて通知を受けていた」と認めた。

「Kentico 12以前のバージョンで発生し得たこの特定のリスクについては認識しています。これは数年前に設定ミスが原因で特定されており、当時既に対応し、ドキュメントを変更しました」と、Kenticoの最高情報セキュリティ責任者であるJuraj Komlosi氏は声明で述べています。

このスパム キャンペーンによる最終的な被害は最小限に抑えられるでしょうが、.gov Web サイトにコンテンツをアップロードできるようになると、問題の .gov Web サイトだけでなく、米国政府全体にとって懸念されることになります。

すでにそのような事件が起きています。2020年には、イランのハッカーが米国のある都市のウェブサイトに侵入し、明らかに投票数の改ざんを目的とした攻撃が行われました。選挙当局は、ハッカーによる選挙関連ウェブサイトへのハッキング行為を懸念しています。

Kentico からの声明により 6 月 5 日に更新されました。