豊田通商インシュアランスマネジメント傘下、豊田通商インシュアランス・ブローカー・インディア(TTIBI)のMicrosoftアカウントのログイン情報が漏れ、同アカウントから送信されたメールが閲覧できる状態にあったことが報告されました。

Hacking into a Toyota/Eicher Motors insurance company by exploiting their premium calculator website

https://eaton-works.com/2024/01/17/ttibi-email-hack/

この問題を報告したのはセキュリティ研究者のEaton Zveare氏。同氏によると、TTIBIのサブドメインにあるアイシャー・モーターズの保険料計算ウェブサイトを通じ、Microsoftアカウントの認証情報が漏れ出たとのこと。

Zveare氏がこの情報を元にアカウントへアクセスしたところ、TTIBIがこれまで顧客に送ったすべてのメールを閲覧でき、その数は顧客情報や保険証券のPDF、パスワードリセットリンク、ワンタイムパスワード、その他もろもろを含めて65万7000通(約25GB)に及んでいたそうです。



TTIBIはインドを管轄する保険ブローカーとして、アイシャー・モーターズはインド有数の自動車メーカーとして知られている企業です。アイシャー・モーターズ専用のサブドメインをTTIBIが用意していることから、両社は何らかの提携関係にあると考えられています。Zveare氏がTTIBIのアカウントを見つけたのは、アイシャー・モーターズのアプリを調査していたことがきっかけでした。

Zveare氏がアイシャー・モーターズのアプリを分析していたところ、保険料計算ウェブサイトへのリンクがコードの中に紛れているのを発見したとのこと。



このリンクには以下からアクセスできます。

Eicher Secure

https://eicher.ttibi.co.in/



Zveare氏が上記リンクからたどってソースコードを確認したところ、クライアントサイドの電子メール送信APIについて記されているのを見つけたそうです。ここで「もしこれが機能すれば、どんな件名や本文のメールを誰にでも送ることができ、しかもそれは本物のアイシャー・モーターズのメールアドレスから送られてくることになる」と考えたZveare氏。



しかし、Bearer認証を見ると「このAPIを使うには何らかの方法でログインする必要があることは明らか」であることが判明。Zveare氏は興ざめしつつ、何が起こるか見るためにAPIリクエストを細工してみることにしたそうです。「401 - Unauthorized」と返ってくると思っていたZveare氏でしたが、実際は正常にメールを送信できただけでなく、メール送信ログを明らかにするサーバーエラーまで返ってきたとのこと。このログの中に、エンコードされたTTIBIのnoreplyメールアカウントのパスワードが含まれていたそうです。



入手した認証情報を使い、TTIBIのMicrosoftアカウントにアクセスしたZveare氏。この際、二要素認証が有効になっていないことも判明したとのこと。



顧客に送られた保険証券



ワンタイムパスワードおよびパスワードリセットリンク



企業ディレクトリ、SharePoint、Teamsなど、Microsoftのクラウド上のリソースにもアクセスできたとZveare氏は伝えています。



Zveare氏は、インド政府が管轄するサイバーセキュリティインシデント対応チーム「CERT-In」にこの問題を報告しました。CERT-Inを通じて情報がTTIBIに伝わったものの対応が遅れ、報告から2カ月以上たってからようやくAPIの脆弱(ぜいじゃく)性が修正されたとのことです。しかしながら、Microsoftアカウントのパスワードが変更されていないため、2024年1月17日時点でまだアカウントにログインできる状態が続いているそうです。なお、TTIBIからの返答は得られなかったとZveare氏は記しています。