Optusのデータ漏洩はどのように発生したのか？その回避方法とは

1. はじめに#

2022年9月、オーストラリアを代表する通信プロバイダーの1つであるOptusは、約1,000万人の顧客の個人情報を露出させるデータ漏洩を経験しました。この事件はオーストラリア史上最大規模のサイバー攻撃の1つとなり、国内のデータプライバシーとセキュリティ対策に対する高い懸念を引き起こしました。

この記事では、以下の疑問に焦点を当てます。

• Optusには、データ漏洩につながるどのようなセキュリティ上の欠陥があったのか？
• セキュリティ侵害を回避するためにOptusが講じることができた対策にはどのようなものがあるか？

2. Optusのデータ漏洩につながったセキュリティ上の欠陥#

以下に、Optusでのデータ漏洩に関する5つのセキュリティ上の欠陥を示します。

2.1 セキュリティ上の欠陥 その1：露出した一般公開API#

Optusの漏洩における最初の重大なセキュリティ上の欠陥は、機密性の高い内部データへのアクセスを容易にする一般公開APIの使用でした。一般公開APIは、外部システムが企業のサービスとやり取りできるように設計されていますが、これらのAPIが適切に保護されていない場合、攻撃者の入り口になる可能性があります。

一般公開APIは何に使われるか？

Google Maps APIやWeather APIのような安全な一般公開APIは、限定された非機密データを外部システムに提供します。これらは、共有データをコアのビジネスオペレーションから分離するように設計されており、本質的に安全です。

なぜ今回の場合、一般公開APIが問題となったのか？

安全なAPIとは異なり、OptusのAPIは機密性の高い顧客情報を公開しており、不可欠な保護対策が欠如していました。これにより、インターネットスキャンを通じてAPIを見つけた攻撃者に対して脆弱になりました。

攻撃者はどのようにしてこのAPIを悪用できたのか？

認証やデータの分離がないため、攻撃者は直接APIに接続し、内部のセキュリティ対策を回避して機密の顧客情報を取得することができました。

2.2 セキュリティ上の欠陥 その2：機密の顧客データへのアクセスを許可する保護されていないAPI#

Optusのデータ漏洩における2番目の重大なセキュリティ上の欠陥は、APIが保護されていなかったことです。そのため、非常に機密性の高い顧客データへのアクセスが許可されていました。最初の問題はAPIが一般公開されていることでしたが、ここでの致命的な問題は、適切なアクセス制御が欠如しており、機密情報への無制限のアクセスを許していたことです。

Optusの顧客がOptusモバイルアプリやウェブサイトを通じて自分のアカウントにアクセスする際、APIはフロントエンドとバックエンドシステム間の通信を促進し、必要なデータを取得します。これらのバックエンドプロセスは、顧客プロファイルを読み込むために機密情報を扱うことがよくあります。

この場合、露出したAPIは攻撃者に以下の種類の個人データへの直接アクセスを提供しました。これらは個人情報の盗難や詐欺に特に価値があります。

• 運転免許証番号 • 電話番号 • 生年月日 • 自宅の住所

後に行われたパブリックドメインネームシステム（DNS）レコードの分析により、このAPIは一般に公開されており、最大3か月にわたりインターネット上の誰からでもアクセス可能であった可能性が高いことが判明しました。

2.3 セキュリティ上の欠陥 その3：増分する顧客識別子の使用#

Optusのデータ漏洩における3番目のセキュリティ上の欠陥は、増分する顧客識別子の使用でした。デジタル世界では、アカウントを安全に区別するために、数字と文字のランダムなシーケンスで構成される一意の顧客識別子が使用されます。サイバーセキュリティのベストプラクティスでは、ハッカーがパターンを特定するのを防ぐために、これらの識別子はランダムであり、関連性がないものにする必要があります。

Optusの顧客識別子：この場合、顧客識別子は予測可能なパターンに従っており、1ずつ増加していました。たとえば、ある顧客の識別子が5332であれば、次は5333になります。ハッカーがデータベースにアクセスすると、識別子を増やすだけで自動スクリプトを作成し、すべてのレコードを取得できました。

この自動化されたアプローチにより、データ盗難のプロセスが加速し、攻撃者は顧客の機密データを大規模に抽出できました。予測可能な設計上の欠陥により、Optusの漏洩はそうでなかった場合よりも速く発生し、より多くの顧客に影響を与えました。

2.4 セキュリティ上の欠陥 その4：コーディングエラーによるアクセス制御の弱体化#

APIや顧客IDの脆弱性以外にも、セキュリティ上の問題がありました。2018年、コーディングエラーによって特定のOptusドメインのアクセス制御が弱体化し、セキュリティが低下しました。Optusは2021年8月にメインウェブサイトでこの問題を修正しましたが、インターネット上でアクセス可能なセカンダリウェブサイトには同じ修正を適用しませんでした。このセカンダリドメインは、2022年9月に漏洩が発覚するまで脆弱なままでした。

この見落としにより、重大なセキュリティのギャップが残りました。一般に公開されているドメインは攻撃者の一般的な標的であり、パッチが適用されていない欠陥は不正アクセスのリスクを高めます。この場合、コーディングエラーにより、攻撃者がアクセス制御をバイパスし、機密データにアクセスすることが可能になりました。

セカンダリドメインや目立たないドメインを見落とすと、攻撃者が容易に悪用できる重大な脆弱性が残る可能性があります。セキュリティの更新が必要なすべての場所に確実に適用されるよう、定期的な監査と徹底的なテストが不可欠です。

2.5 セキュリティ上の欠陥 その5：脆弱なセカンダリドメイン#

この適切な監督の欠如は、漏洩において重要な役割を果たしたセカンダリドメインにも及んでいました。ドメインは積極的に使用されていなかったにもかかわらず、長期間にわたりオンラインであり、保護されていない状態が続きました。日々の運用には不要であったにもかかわらず、適切なアクセス制御で保護されることも、廃止されることもなく、攻撃者が悪用しやすい侵入ポイントを作り出していました。

積極的に使用されていない場合でも、そのようなドメインに脆弱性が存在すれば、攻撃経路として機能する可能性があります。これらのリスクを軽減するために、企業はデジタル資産を定期的に監査し、使用されていないドメインを速やかに廃止するか、稼働中のシステムと同レベルのセキュリティを適用する必要があります。

3. このようなデータ漏洩を回避する方法#

Optusのハッキングと同様のデータ漏洩を防ぎ、風評被害のリスクを軽減するために、組織は以下に示すさまざまなセキュリティ戦略を採用できます。

3.1 対策 その1：OWASP API Security Projectの参照#

OWASP API Security Projectは、既知のAPIセキュリティリスクを強調する定期的に更新されるリソースです。サイバーセキュリティチームは、ビジネスに影響を与える可能性のある脆弱性を特定して対処するために、このデータベースを定期的に監視することが不可欠です。これには、次のような幅広い潜在的なリスクが含まれています。

• Broken Object Level Authorization（BOLA）： 不正なデータアクセスを許可してしまうユーザーアクセス権限のギャップ。

• 過度なデータ露出： APIが必要以上の情報を返し、機密データの漏洩リスクを高めること。

• セキュリティ設定のミス： 機密性の高いAPIを攻撃にさらす不適切な設定やデフォルト値。

• インジェクションの欠陥： 攻撃者がAPIを悪用して悪意のあるコマンドやデータを注入すること。

3.2 対策 その2：認証プロトコルですべてのAPIを保護する#

OWASP API Security Projectでは、認証されていないAPIがAPIの脆弱性として2番目に多いと強調しています。これらのAPIは、接続を確立するためにユーザー名、パスワード、またはその他の認証方法を必要としないため、悪用に対して非常に脆弱になります。この種の弱点が、Optusのデータ漏洩で中心的な役割を果たしました。

場合によっては、レガシーシステムとの互換性を維持するため、またはテスト目的で、APIが意図的に認証なしのままにされることがあります。Optusも同様の理由でAPIを認証なしのままにしていたと考えられます。しかし、テストやレガシーシステムの要件がどれほど重要であっても、内部向けであれ一般公開向けであれ、認証なしでAPIをデプロイすることは重大なセキュリティリスクです。

認証されていないAPIの悪用を防ぐ方法

APIを保護するには、すべての接続リクエストを**多要素認証（MFA）**で保護する必要があります。MFAは、複数の形式の検証を要求することで追加の保護レイヤーを提供し、APIやユーザーアカウントへの不正アクセスをブロックする最も効果的でシンプルな方法の1つです。

隠れたAPIの脆弱性の特定

APIセキュリティポリシーは、保護が必要なすべてのAPIが把握されている場合にのみ有効です。しかし、Optusのケースのように、組織が気付かないうちに一般公開APIによって危険にさらされている場合はどうなるでしょうか？

標準的なスキャンツールでは、隠れたAPIや見落とされたAPIを検出することは困難です。それらを発見する最も効果的な方法は、ペネトレーションテストを通じて次のような脆弱性を明らかにすることです。

• 脆弱な認証メカニズム： プレーンテキストのパスワードや不適切にハッシュ化された資格情報を受け入れるシステム。

• クレデンシャルスタッフィングやブルートフォース攻撃への露出： 盗まれたユーザー名とパスワードを大規模に悪用すること。

• APIパラメータの操作： URLやレスポンスで機密な認証情報が明らかになること。

4. 結論#

結論として、Optusのデータ漏洩は、堅牢なサイバーセキュリティ対策を実施し、デジタル資産を定期的に監査することの極めて重要な意義を浮き彫りにしています。APIの保護、適切な認証プロトコルの適用、およびセカンダリドメインでの見落とされた脆弱性への対処を怠ったことが、このインシデントに大きく寄与しました。OWASP API Security Projectで概説されているような業界のベストプラクティスを採用し、包括的なセキュリティ戦略を優先することで、組織は同様の漏洩から身を守り、機密の顧客データを保護し、最も重要なこととしてユーザーの信頼を維持することができます。

Corbadoについて

Corbadoは、大規模なconsumer認証を運用するCIAMチームのためのPasskey Intelligence Platformです。IDPのログや一般的なanalyticsツールでは見えないものを可視化します。どのデバイス、OSバージョン、ブラウザ、credential managerがpasskeyに対応しているか、なぜ登録がログインにつながらないのか、WebAuthnフローのどこで失敗するか、OSやブラウザのアップデートがいつ静かにログインを壊すか — Okta、Auth0、Ping、Cognito、あるいは自社IDPを置き換えることなく、すべてを把握できます。2つのプロダクト：Corbado Observeは passkeyとその他あらゆるログイン方式のobservabilityを提供します。Corbado Connectは analytics内蔵のmanaged passkeyを追加します（既存のIDPと併用）。VicRoadsはCorbadoで500万人超のユーザーにpasskeyを提供しています（passkey有効化率+80%）。 Passkeyエキスパートに相談する →

よくある質問（FAQ）#

Optusの漏洩で盗まれた個人データは何ですか？また、なぜそれがそれほど有害なのですか？#

公開されたAPIにより、攻撃者は運転免許証番号、電話番号、生年月日、自宅の住所に直接アクセスできました。これらのデータタイプは個人情報の盗難や詐欺に特に価値があるため、影響を受けた顧客にとってこの漏洩は非常に深刻な被害をもたらしました。

なぜ企業はそもそもAPIを認証なしのままにしておくのですか？#

レガシーシステムとの互換性を維持するため、またはテスト目的で、APIが意図的に認証なしのままにされることがあります。Optusの場合もそうであったと考えられます。しかし、運用上の理由に関係なく、内部向けであれ一般公開向けであれ、認証なしでAPIをデプロイすることは重大なセキュリティリスクです。

セキュリティチームは、攻撃者が悪用する前に、隠れたAPIや見落とされたAPIをどのように発見できますか？#

標準的なスキャンツールでは、隠れたAPIや見落とされたAPIを検出することは困難です。最も効果的なアプローチはペネトレーションテストであり、脆弱な認証メカニズム、クレデンシャルスタッフィング攻撃に対する脆弱性、URLやAPIレスポンスで明らかになる機密な認証情報などを明らかにすることができます。

OWASP API Security Projectとは何ですか？また、Optusのような漏洩を回避するのにどのように役立ちますか？#

OWASP API Security Projectは、Broken Object Level Authorization（オブジェクトレベルの認可の欠如）、過度なデータ露出、セキュリティ設定のミス、インジェクションの欠陥など、既知のAPIセキュリティリスクをカタログ化した定期的に更新されるリソースです。サイバーセキュリティチームはこれを定期的に監視し、攻撃者が悪用する前に脆弱性を特定して対処する必要があります。