セキュリティ
銀行職員へのなりすましに必要なすべての情報を、公開APIが流出
2025年、インド準備銀行は.bank.inサブドメインを創設し、国内のすべての銀行に対してオンライン上のプレゼンスへの使用を義務付けました。インドには数千の銀行が存在しており、この新規制によってすべての銀行がbankname.bank.inドメインの登録・使用を求められることになりました。フィッシング詐欺師や不正業者の活動を困難にすることを目的とした措置です。
そして今回、サブドメインの唯一のレジストラとして選定されたインド銀行技術開発研究所(IDRBT)が管理に失敗し、機密データを漏洩させたとするセキュリティ研究者の告発が浮上しました。
この告発は、インドのキャッシュレス社会化を推進するグループ「CashlessConsumer」が昨日公開したレポート[PDF]および投稿で明らかになりました。同グループはデジタル決済事業者に対して市民の利益を代弁することを目的としています。
「IDRBTドメイン登録ポータル(registrar.idrbt.ac.in)——インドの.bank.in名前空間における唯一のレジストラ——は、認証不要の33以上のエンドポイントを通じてREST API全体を外部に公開していました」と投稿は主張しています。「curlさえ使えば誰でも、インドの銀行ドメイン管理を担う5,576名の銀行職員全員のbcryptパスワードハッシュ、携帯電話番号、メールアドレス、ログインIPアドレス、デバイスフィンガープリントを取得できる状態でした」
この暴露を行った研究者「Srikanth L」氏は、ポータルへのアクセスを通じて情報を取得したと述べており、インドの一部の銀行が米国、シンガポール、リトアニアの共用サーバー上でウェブサイトをホストしていることを示す証拠も発見したとしています。また、登録済み.bank.inドメインの80%がDNSSECを使用しておらず、40%が送信者のIDを検証するDMARCメールセキュリティプロトコルを導入していないこと、さらに多くのドメインが無料のLet’s Encrypt証明書で保護されているとも指摘しています。
同研究者の投稿はさらに、このポータルが適切なセキュリティ審査を経ることなく稼働を開始し、13ヶ月間にわたってセキュアでないAPIが使用され続けていたと主張しています。
Srikanth L氏は6月初旬に調査結果を開示しており、その後IDRBTが深刻なセキュリティ上の欠陥を修正したと述べています。また同研究者は、ポータルのAPIへのアクセスで取得した情報をGitHubリポジトリに掲載しているようで、以前は公開APIで取得可能だった一部の情報がすでに公開状態となっています。インドの銀行インフラの全体像をセキュリティ研究者が把握できるようにするためだとしています。
公開APIによって攻撃者が上級銀行職員の認証情報にアクセスし悪用できた可能性があることを踏まえると、この情報は重要な意味を持ちます。入手した認証情報はさまざまな形の攻撃に利用できるものであり、そもそも.bank.inの使用義務化によって防止しようとしていたDNSスプーフィングやフィッシング攻撃さえも可能にするものだからです。
本稿執筆時点では、IDRBT、インド準備銀行、インド政府のいずれもこの件に関する公式コメントを発表していないようです。®
