Kromtechは9月12日(米国時間)、「Kromtech Discovers Massive ElasticSearch Infected Malware Botnet」において、パブリックにアクセス可能なElasticSearchサーバに焦点を当てて調査を実施したところ、POS系マルウェアと推測されるファイルに関連した多数のノードを発見したと伝えた。記事では、マルウェア「AlinaPOS」「JackPOS」が見つかったとしている。
JackPOSはコンピュータメモリからクレジットカード情報を窃取するタイプのPOSマルウェア、AlinaPOSは2012年10月に発見されたマルウェアで、POSのメモリデータを窃取することで知られている。どちらのマルウェアもコンピュータのメモリからクレジットカード情報を窃取することを目的としている。
|
資料: Kromtech提供 |
|
資料: Kromtech提供 |
記事では、問題は認証を持たずに運営されているElasticSearchサーバにあると指摘している。認証が用意されていないため、攻撃者は対象のインスタンスで管理者権限を得ることができ、さまざまな用途に悪用できるようになっているという。
調査したケースではAmazon Web ServicesでホストされていたElasticSearchインスタンスが攻撃に使われていたほか、こうした乗っ取られたサーバが巨大なPOSボットネットの一部として稼働していることがわかったと指摘している。Kromtechの調査によれば、このように攻撃に悪用されていると見られるElasticSearchサーバの数は4000ほどに及び、さらにそれらのうち99%がAmazonでホストされていたと説明している。
