Trelloの個人情報流出 : APIの脆弱性で攻撃にさらされたコラボレーションツール | Criminal IP（クリミナルアイピー）

最近、コラボレーションツールを提供するソフトウェア企業であるアトラシアン（Atlassian）のタスク管理ツールであるTrelloの約1,500万人のユーザーの個人情報がダークウェブに流出する事件が発生しました。今回の流出事件は、APIの脆弱性を悪用したハッカーの攻撃によるものと確認されました。今回の記事では、ハッカーがAPIの脆弱性を悪用して個人情報をどのように盗むか、コラボレーションツールがハッカーのターゲットになる理由とセキュリティ上の注意事項についてご紹介します。

APIの脆弱性を悪用したTrelloの個人情報流出の過程

アトラシアンはコラボレーションツールを提供するソフトウェア企業であり、様々なプロジェクト管理ツールとソフトウェア開発ツールを提供しています。その中でもTrelloはプロジェクト管理とコラボレーションのためのツールで、ボードとカードリストの形で作業を組織化する機能を備えています。世界中の3,000社以上の企業がTrelloを使用しており、ユーザーはこれを使用して効率的に作業を管理し、協力することができます。

APIの脆弱性を発見し、 Trelloの個人情報流出攻撃に悪用した方法 — APIの脆弱性を発見し、Trelloの個人情報流出攻撃に悪用した方法

今回のTrelloの個人情報流出事件は、「emo」というハッカーがダークウェブフォーラムにTrelloユーザーのアカウント情報を含むデータベースを販売すると投稿したことで知られました。

Trelloの個人情報流出事件は、次のような段階で行われました。

1. 公開されたAPIのエンドポイントを悪用する

TrelloはREST APIを通じて、ユーザーが公開したプロフィール情報を照会できる機能を提供しました。このAPIは、ユーザーID、ユーザー名、メールアドレスに基づいてプロフィール情報を検索できるように設計されました。初期には、認証なしでAPIアクセスが可能でした。つまり、誰でもAPIを呼び出して公開された情報を検索することができ、これにより、ハッカーは無制限にデータを収集することができました。

2. メールアドレスリストを活用する

ハッカーの「emo」は5億個のメールアドレスを含む大規模なリストを作成し、そのリストは様々なソースから収集されたメールアドレスで構成されていました。メールアドレスのリストをAPIに入力し、各メールアドレスがTrelloのアカウントに接続されているかどうかを確認しました。API呼び出しの結果、各メールアドレスに関連付けられたアカウント情報が返されました。

3. データを組み合わせる

API呼び出しで返されたデータには、ユーザーID、プロファイルURL、ステータス情報、設定と制限、関連するボードのメンバーシップ情報が含まれていました。ハッカーはこの情報を収集し、各メールアドレスに関連付けられたユーザープロファイルを作成しました。5億個のメールアドレスとAPIを通じて返されたユーザー情報を組み合わせて、1,500万個以上の詳細なユーザープロファイルを完成しました。

4. データ流出及び販売

ハッカーは生成されたユーザーのプロフィール情報をダークウェブフォーラム「Breached」に掲載しました。これにより、他のハッカーや犯罪者がこの情報を購入できるようにし、「emo」はリスト全体を8サイトクレジット、つまり約2.32ドルで販売しました。流出した情報は大量に提供され、個人情報の盗用、フィッシング攻撃、個人情報漏洩（doxing）などに悪用される可能性があります。

これに対し、アトラシアンは、メールアドレスに基づいて他のユーザーの公開情報を要求する非認可ユーザーのアクセスをブロックする措置を取った発表しました。また、APIの使用を継続的に監視し、必要な措置を講じると付け加えました。

CTI検索エンジンでアトラシアンの公開されたIPアドレスを見つける

今回のTrelloの個人情報流出事件のターゲットとなったTrelloを含むコラボレーションツールは、常にハッカーの主な攻撃対象となってきました。代表的なグローバルコラボレーションツール企業であるアトラスジアンのジラ（Jira）、コンフルエンス（Confluence）、Trelloなどは脆弱性と攻撃にさらされています。

CTI検索エンジンであるCriminal IPのIT資産検索を使用して、アトラシアンと関連する主要なIPアドレスを探索し、脆弱な状態で公開されているサーバーを発見することができました。

https://www.criminalip.io/ja/asset/search?query=tech_stack%3A+Atlassian

Search Query: tech_stack: Atlassian

Trelloの個人情報流出 : Criminal IPで確認したアトラシアンの主要IP — Criminal IPで確認したアトラシアンの主要IP

特に、脆弱性を保有した状態で公開されたIPアドレスも発見することができました。

Trelloの個人情報流出 : Criminal IPで発見されたアトラシアンのIPアドレスの脆弱性 — Criminal IPで発見されたアトラシアンのIPアドレスの脆弱性

IPアドレスレポートの下部には、そのIPアドレスで運用されているポートとサービスを確認することができます。当IPアドレスは80番ポートでコンフルエンスが運営されており、CVE-2023-22515の脆弱性を保有していることが確認されます。企業や機関の内部文書や資料が共有されるコラボレーションツールであるため、インターネットに公開されるだけでも脅威になる可能性があり、さらに、既知の脆弱性を保有している状態であれば、いつでもハッカーのターゲットになる可能性があります。このように、企業や機関はコラボレーションツールを使用する際、継続的なセキュリティ管理と最新のパッチを適用することを常に注意しなければなりません。

APIセキュリティの重要性

今回の事件は、APIセキュリティの重要性を改めて悟らせます。企業は、APIのセキュリティ脆弱性を継続的に監視し、不正アクセスを遮断し、ユーザーデータを安全に保護するための措置を強化する必要があります。Trelloユーザーは今回の事件をきっかけに、個人情報保護にさらに気をつけなければならないでしょう。この時、CTI検索エンジンのCriminal IPを活用し、公開されたAPIのエンドポイントに関連する脅威を検出して対応することができます。

API流出で発生する可能性のある事件についてAPIキー一つで起こる個人情報漏れ、そして造作をご参照ください。

当レポートはサイバー脅威インテリジェンス検索エンジン「Criminal IP」のデータに基づいて作成されました。只今Criminal IPの無料アカウントを作成し、レポートに引用された検索結果の確認やより膨大な脅威インテリジェンスを自由に検索いただけます。

データの提供：Criminal IP（https://www.criminalip.io/ja）

ご参照：

https://criminalipdotcodotjp.wpcomstaging.com/2022/07/19/api-key-leak/