ブリティッシュ・エアウェイズのデータ侵害から得られる教訓が、これまで以上にタイムリーである理由

ブラウザ サプライ チェーン攻撃 (エンド ユーザーの Web ブラウザで実行されているサードパーティ スクリプトに悪意のあるエクスプロイトが挿入される) は、その蔓延が加速し続けているにもかかわらず、過小評価され、セキュリティが不十分な脅威のままです。ブリティッシュ エアウェイズのデータ侵害の教訓は、これらのブラウザ側の攻撃がいかに壊滅的であるかを初めて示しました。航空会社は依然として人気のターゲットであり、イージージェットとエア ヨーロッパも同様の種類の攻撃に見舞われています。しかし、航空会社だけではありません。さらに最近では、保険大手のカイザー パーマネンテが、サードパーティのブラウザ スクリプトに起因するデータ侵害を公表し、現在および過去の保険加入者数百万人に影響を及ぼしました。

この脅威ベクトルに対する保護は、エンジニアにとってこれまで以上に緊急の課題であり、ブラウザ サプライ チェーン侵害のリスクを無視する組織は、自らの危険を冒すことになります。ブリティッシュ エアウェイズの事件がなぜ今でも企業のサイバー セキュリティ戦略に重要なのか、そして同様の脅威から保護するために何ができるのかを説明します。

攻撃者はセキュリティの欠陥を悪用した

ブリティッシュ・エアウェイズの侵害では、同社の公式ウェブサイトで購入するためにクレジットカード情報を入力した顧客全員の機密データが、悪意のあるブラウザサイドのスクリプトによってコピーされ、攻撃者が管理するドメインに送信されました。航空会社がこの検出困難な脅威にようやく気付いたときには、40万人以上の顧客の個人データが漏洩しており、英国の情報コミッショナー事務局（ICO）の規制当局から記録的な1億8,300万ポンド以上の罰金が科されました。

この事件の発端は、貨物サービスプロバイダーのスイスポートの従業員から盗んだ認証情報を使用して攻撃者がブリティッシュ・エアウェイズのシステムにログインした最初の侵入に遡ります。そのアカウントには多要素認証保護がなかったため、攻撃者はCitrixのリモートアクセス環境にログインし、リモートユーザーをネットワークの安全な領域に制限する制限を超えてアクセスをエスカレートすることができました。

その後、攻撃者はネットワーク全体を調査してさらなる脆弱性を探すツールを導入し、ドメイン管理者のログイン認証情報を含む暗号化されていないプレーンテキスト ファイルを発見しました。これにより、攻撃者はドメイン内のコンピューターやサーバーにアクセスし、構成設定を変更し、ネットワーク リソースを操作することができました。攻撃者はサーバーにログインし始め、翌日にはデータベース管理者のログイン認証情報を発見し、暇なときに利用可能なデータを辛抱強く調査し続けました。

攻撃者は、 108,000 枚の決済カードの詳細を含むログ ファイルを発見しました。これらはすべてプレーン テキストで保存されていました。テスト機能が誤ってオンになっていたため、そのデータは保存されることはなく、完全に保護されていない状態になることもありませんでした。その後、攻撃者はブリティッシュ エアウェイズのサイトのコードを含むファイルを発見し、ブラウザー サプライ チェーン攻撃を準備するために必要なすべての機会を得ました。

ブラウザサプライチェーン攻撃の構造を理解する

攻撃者は、戦略の重要な焦点として、baways dot com という、同社の公式 Web アドレスと簡単に誤解される利用可能なドメイン名を購入しました。このドメインはリトアニアのホスティング プロバイダーを使用しており、ルーマニアでホストされていましたが、ブリティッシュ エアウェイズには、何かがおかしいことをセキュリティ担当者に警告できる監視機能はありませんでした。

現代のウェブサイト開発では、ユーザーが期待するインタラクティブ性と高度な機能を実現するために、サードパーティのソースからの多数のスクリプトが使用されています。サードパーティのスクリプトによって実現される機能の例には、チャットボットからマーケティングおよび分析ツール、キャプチャなどのセキュリティ対策まで、あらゆるものが含まれます。しかし、これらのスクリプトはほとんどの場合外部でホストおよび管理されるため、企業にとって監視とセキュリティ保護が特に困難です。サードパーティベンダー側の単純な脆弱性やエラーが、セキュリティインシデントにつながる可能性があります。そのようなベンダーが安全なコードを提供する専門知識を欠いている場合、またはビジネスや人事の変更によりスクリプトがメンテナンスおよび監視されない場合、リスクは極端になる可能性があります。

侵害が発生した当時、ブリティッシュ エアウェイズの Web サイトには、約 20 個のサードパーティ スクリプト (予約ページを含むと 30 個) が読み込まれていました。サイト訪問者のブラウザーは、サイトから外部ソースからコードを取得して実行するように要求を受け取りました。これは標準的な手法であり、ブラウザーはスクリプトやスクリプトがデータを送信するエンドポイントが正当かどうかを判断するようには設計されていません。攻撃者は、ブラウザー機能を検出してエクスペリエンスを最適化するのに役立つ一般的なスクリプトである Modernizr JavaScript ライブラリに悪意のあるコードを挿入しました。ブリティッシュ エアウェイズの Web サーバーによって提供されたこの侵害されたバージョンのスクリプトは、顧客が送信したデータのコピーを攻撃者のサイトに送信しました。

このようにして、約 3 週間にわたって、ブリティッシュ エアウェイズの Web サイトで入力されたすべての支払いカード情報が攻撃者によって盗み取られました。機密情報を送信したのは自分のブラウザーであったにもかかわらず、顧客は当時まったく気付いていませんでした。攻撃者は巧妙に通常の Web エクスペリエンスと遅延をそのまま維持し、数週間にわたってユーザーとセキュリティ担当者の両方にデータ盗難が透明になるようにしました。

数週間後、第三者がようやく侵入を認識してブリティッシュ・エアウェイズに通知したとき、同社はすべて正しく対応した。2時間も経たないうちに、セキュリティチームは悪質なコードを無効化し、偽のウェブサイトをブロックした。顧客、支払いを処理する銀行、ICOには速やかに通知が届いた。しかし、被害はすでにあった。航空会社の評判は打撃を受け、記録的な規制上の罰金が課され、集団訴訟は後に法廷外で和解した。後に、同社の迅速な説明責任（およびパンデミック救済との関連）を考慮して罰金は軽減されたが、これは誰もが熱心に避けたい出来事だった。

これから起こる脅威の前兆

はっきり言って、この事件でブリティッシュ エアウェイズのセキュリティに欠点を見つけるのは難しいです。当時は、サードパーティのスクリプトを介して悪意のあるペイロードを配信するブラウザ サプライ チェーン攻撃を確実に検出するために必要なツールがまったくありませんでした。同時に、 Magecart 攻撃(17,000 のサイトに影響) などのその後の出来事は、ハッカーが好む脆弱性を見つけたことを示しています。今日でも、ほとんどの組織のセキュリティ体制では、これらの攻撃に対する可視性が欠けています。一般的な IT セキュリティ保護は今やかつてないほどの注目を集めていますが、ブラウザ サプライ チェーン攻撃の脅威の増大は、依然としてほとんど保護されていないか、最低限のコンプライアンス要件にしか対応していません。

しかし、今では、これらの攻撃に対する強力な防御をチームに提供するセキュリティ機能が存在します。ブラウザのサプライ チェーン セキュリティを効果的に行うために不可欠なのは、悪意のあるスクリプトを即座に削除するように設計された戦略を活用して、サードパーティ スクリプトのコンテンツを監視および継続的に検査する機能です。これらの攻撃の動的な性質を考慮すると、スクリプトのソースのみを検査する 1 回限りのレビューや監視だけでは十分ではありません。とはいえ、チームはできる限り安全なサードパーティ ソースを選択し、その信頼性を継続的に検証する必要があります。また、チームは適切なセキュリティ衛生を実践し、不要なサービスやスクリプトをページから積極的に削除して環境を強化する必要があります。特に、支払いポータルなどの機密性の高いページでは重要です。

緊急のセキュリティ要件

ウェブサイトがユーザーのブラウザに最新のエクスペリエンスを提供するためにサードパーティのスクリプトをますます多く利用するようになると、攻撃者はさらに多くの機会を見つけることになります。チームは、ブリティッシュ エアウェイズを襲ったような攻撃から教訓を得て、ブラウザ サプライ チェーンを完全に保護するための措置を今すぐ講じるか、または苦い経験を通して学ぶかを選択できます。