インターネットセキュリティサービスを手がける英Netcraftは現地時間2014年3月19日、米Electronic Arts(EA)のサーバーがハッキングされ、米Appleのユーザーを狙ったフィッシングサイトのホスティングに使用されていることを確認したと発表した。
問題のサーバーに導入されている古いカレンダー管理ソフト「WebCalendar 1.2.0」の脆弱性が悪用されたとNetcraftは見ている。WebCalendar 1.2.0は2008年9月にリリースされ、複数の脆弱性が見つかっているが、その後のリリースで解決されている。
フィッシングサイトは、Appleサイトのログイン画面を装い、AppleユーザーにApple IDとパスワードの入力を求める。次の画面で、氏名、クレジットカードの番号と有効期限およびセキュリティーコード、誕生日、電話番号、母親の旧姓など、詐欺に利用できる詳細な個人情報を入力させようとする。促されるままに情報を入力すると、正規のApple ID管理画面にリダイレクトされる。
Netcraftの見解では、攻撃者はAppleユーザーの個人情報を取得するだけでなく、サーバーに保存されているデータを不正に閲覧できた可能性が高い。
Netcraftによると、ここ最近、EA Gamesブランドのサイトをターゲットにしたフィッシング攻撃も行われ、EAのオンラインプラットフォーム「Origin」のユーザーから重要情報を盗み出そうとする試みが確認されている。EAのOriginサーバーは年明けにも、サイバー攻撃によりゲームの接続とログインに障害が発生した。
[発表資料へ]
