政府の脆弱性を暴くためにDICTと提携する「ホワイトハット」ハッカーを歓迎

情報通信技術省（DICT）は、政府の脆弱性を明らかにし、公共システムへの攻撃を減らすために、「ホワイトハット」ハッカーと提携することに前向きです。

しかし、同局は「ハクティビスト」に対し、インターネット上にデータを流さないよう警告した。「我々はこうした個人と提携することに前向きだ。しかし、もしあなたの活動方法がこれらのデータをウェブ上に流すことであるなら、私は個人的にあなたの意図を疑う。もしあなたの意図が真実であるなら、直接我々に連絡してください」とDICTスポークスマンのレナト・パライソ・ジュニア氏は述べた。

パライソ氏は水曜日遅くのインタビューで、国家警察の銃器および爆発物管理局の認可システムへの最近の侵入はハクティビスト「ph1ns」によるものだと語った。

しかし、ICT部門は「他の可能性も排除していない」という。

「我々はその主張を検証する必要がある」とパライソ氏は語った。

本稿執筆時点では、DICT はハッキングの影響をまだ評価中ですが、ハッカーが FEO の脆弱性を悪用し、1.5 テラバイトの機密データにアクセスしたと報告されています。

「散弾銃攻撃のようなアプローチだった。彼らは複数のシステムに侵入しようとし、脆弱性を見つけると、アクセスできるようになるまで1～2か月間そのシステムを狙った」とパライソ氏は語った。

侵害されたデータには、数十万人の個人の名前、住所、生年月日と出生地、職業、学歴、医療記録、宗教、家族情報などの詳細な個人情報が含まれています。

さらに、名前、取引番号、日付、給与明細、銃器登録状況、電子メールなどの金融取引記録も漏洩しました。データベースには取引テーブルに 1,562,463 件のエントリが含まれており、約 590,000 人の個人に影響を与えています。

この侵害には、マルコス大統領やサラ・ドゥテルテ副大統領など、著名な政治家に関するデータも含まれていた。

パライソ氏は、国家警察のサイバーセキュリティシステムは「既成の」ものではないと指摘した。

「PNP のシステムはいじってはいけないものですが、最も洗練されたシステムでさえ脆弱性はあります」と彼は言いました。「テクノロジーは常に進化しており、今調達したものが 6 か月後には時代遅れになっている可能性があります。そのため、継続的なテストなどのサイバー衛生を実践する必要があります。」

パライソ氏はこれを靴の購入に例えました。

「消耗が激しいです」と彼は言った。

同氏は、この攻撃はランサムウェアの攻撃とは一致しないと指摘した。

「これは特定のシステムからのデータの流出だ。ランサムウェアだったと信じる理由はない」とパライソ氏は語った。

ハッカー「ph1ns」は、X プロフィールで、自分は「DICT の親友」であると主張しています。

ちょうど木曜日、ハッカーは別の脆弱性を理由に国家警察に通報した。

「PNP様、2FAの実装について [two-factor authentication] 電子メールのIMAPはうまく機能しません。IMAPに直接接続することは可能です。 [Internet Message Access Protocol] およびSMTP [Simple Mail Transfer Protocol] 「メールクライアントを使用してサーバーにアクセスし、このようにして2FAを回避できる」とハッカーは述べた。

「ph1ns」は政府の脆弱性を暴露して修正を求めるハクティビストのようです。

パライソ氏は、DICT は「ph1ns」のような人たちと協力する用意があると述べた。ただし、これらの脆弱性を一般公開しないという条件がある。

政府は過去数か月間、多数のデジタル攻撃に見舞われている。その中には、フィリピン健康保険公社、議会、上院、教育省などのシステムへのハッキングも含まれている。

画像クレジット: コーヒーミル | DREAMSTIME.COM