セキュリティ研究者、リバースエンジニア、アプリケーション開発者のイートン・Z氏によると、2月末までにインテル従業員27万人の機密情報をダウンロードすることが可能だったという。従業員が名刺を注文するインテル・インド・オペレーションズ(IIO)のサイトでは、この情報はすべて「有効なユーザー」を装うというわずかな回避策で入手できた。イートン氏が「Intel Outside」と名付けたこの潜在的なハッキングの背後にある脆弱性は、2024年10月からインテルへの連絡の中で詳細に説明されていた。さらに、この名刺サイトは、深刻なセキュリティ上の欠陥が見つかった4つのサイトのうちの1つに過ぎなかった。
「Intel Outside」と名付けた最新の研究プロジェクトについて、皆さんにご紹介できることを嬉しく思います。昨年秋、インテルのウェブインフラに多数の重大な脆弱性を発見し、27万人のインテル従業員や従業員に関する機密情報など、多くの情報を盗み出すことに成功しました。pic.twitter.com/oRXiEP5mPn 2025年8月18日
ハッキングの仕組み:「背景が派手になればなるほど、ログインページの効果は低下する」
イートン氏によると、最初の境界偵察の後、名刺ログインフォームの背後にあるJavaScriptファイルをチェックすることにしたという。「getAllAccounts関数を改変して空でない配列を返すようにすることで、アプリケーションに有効なユーザーがログインしていると思わせることができる場合がある」とイートン氏は説明した。実際、この方法は成功し、イートン氏はログイン画面を通過できた。
次に、このウェブサイトでは、この深さまでアクセスすることで、インドだけでなく世界中の従業員の長いリストを調査できることが確認されました。匿名ユーザー(イートン社など)が利用できるAPIトークンにより、従業員データへのさらに深いアクセスが可能になりました。
その後、イートン社は従業員一人ひとりについて取得できる情報量の多さに驚きました。「このシンプルなウェブサイトに必要な情報をはるかに超えています。インテルのAPIは本当に充実しています!」とコメントしました。
イートン氏ではなく、インテルにとって事態は悪化した。調査対象のAPIからURLフィルターを削除したところ、最終的に「約1GBのJSONファイル」が見つかった。イートン氏によると、このダウンロードファイルにはインテルの全従業員(現在は従業員数は減少している)の詳細情報が含まれていた。データには、各従業員の氏名、役職、上司、電話番号、住所などの項目が含まれていた。
インテルの他の3つのウェブサイトも、軽い詮索によって公開された。
イートン氏の研究では、他のいくつかのIntelウェブサイトでロックのクリック音をテストしました。他にも3つの脆弱性のあるIntel Outsideスタイルのハッキングが可能だったと聞いたら、驚かれるかもしれません。
Tom's Hardware の最高のニュースと詳細なレビューをあなたの受信箱に直接お届けします。
イートンは社内の「製品階層」ウェブサイトで、簡単に解読可能なハードコードされた認証情報を発見しました。ここでも、得られた情報はインテル従業員の膨大なデータリストと、システムへの管理者アクセスの取得でした。同様に、インテルの社内「製品オンボーディング」でも、簡単に解読可能なハードコードされた認証情報が問題となっていました。
インテルのSEIMSサプライヤーサイトにおける企業ログインも、回避可能なセキュリティ対策の一つだった。イートン氏によると、これは攻撃者が「インテル全従業員の個人情報をダウンロード」できる驚くべき第4の手段だったという。
大丈夫
イートン氏は2024年10月以降、インテルと連絡を取り、発見されたウェブサイト内部の欠陥について説明しました。しかし残念なことに、イートン氏の作業は細則で除外されていたため、インテルのバグ報奨金の対象にはなりませんでした。さらに悪いことに、イートン氏はプロセス全体を通してインテルから定型的な「自動返信」を1通しか受け取りませんでした。
イーストン氏は、自身が発見しインテルに報告したすべての脆弱性が、今年2月28日までに修正されたことに気づいた。したがって、リンク先のブログを8月18日に公開することは極めて合理的であるように思われる。
Google ニュースで Tom's Hardware をフォローすると、最新のニュース、分析、レビューをフィードで受け取ることができます。「フォロー」ボタンを忘れずにクリックしてください。
マーク・タイソンはトムズ・ハードウェアのニュース編集者です。ビジネスや半導体設計から、理性の限界に迫る製品まで、PCテクノロジーのあらゆる分野を網羅的にカバーすることに情熱を注いでいます。
