Security
サッカーファンの皆さん、大げさだと思いますか? 何事にも初めてはあるものです
Hudson Rockによると、アルゼンチンサッカー協会(AFA)が侵害されたとみられる事案は、その約1年前に発生した情報窃取型マルウェアの感染に起因している可能性があるといいます。
今回の事件は、アルゼンチンがワールドカップのラウンド16でエジプトを破って敗退させたことに憤慨したサッカーファン、またはそのグループによる犯行とみられています。
エジプトの監督やサッカー協会は、複数の審判判定やVAR判定について不満を表明しており、それが結果に影響したと主張していました。
AFAのシステムが侵害されていたことが発覚したのは、正規のドメインから「アルゼンチンはエジプトから勝利を『盗んだ』」「この強奪は見過ごされない」とする内容の大量メールが送信されたことがきっかけでした。
Hudson Rockによると、AFAのソフトウェア開発者(同協会に10年近く勤務していた人物)が使用する端末で、2025年9月8日にさかのぼる情報窃取型マルウェアへの感染の痕跡が見つかったといいます。
同社は既知の情報窃取型マルウェア被害者のデータベースを運用しており、この侵害された端末は翌日に同データベースへ登録されていたと指摘しています。
今回の攻撃の首謀者は「All Egyptian Cyber Warriors」を名乗る犯行声明を出していますが、彼らは窃取した認証情報を1年近く温存していたか、あるいはエジプトが物議を醸す形でワールドカップから敗退した後にその認証情報を探し出したかのいずれかだとみられます。
攻撃者は認証情報を入手し、AFAのシステムへの認証を突破した後、「極めて広範な管理者権限を手にしていた可能性が高い」とHudson Rockは述べています。
これには、phpMyAdminのデータベース管理パネルへの直接アクセス、AFAの一部データベースへのルートアクセス、AFAのトレーニング本部の管理ポータルへのアクセス、AFAメディアポータル、そして大会管理システムへのアクセスが含まれていたとみられます。
研究者たちは、自社データベースに登録された窃取済み認証情報を調査した結果、複数の内部システムで推測されやすい弱いパスワードが使い回されていたことを確認したとしています。
AFAの管理・運用ポータル(afasistemas.com.ar)から送信された侵害メールに加えて、Hudson Rockは、同協会のデータを販売するとうたう投稿がサイバー犯罪フォーラムに複数掲載されていることも確認しました。
これらの広告によると、データはスタッフ、プロクラブ、そしてAFAの外部メディアパートナーに関連するものだといいます。
サンプルには、内部メールアドレス、電話番号、ユーザーの役割、登録日時などが含まれているほか、AFAのサブドメインへのアクセス権の出品も見つかっています。
データにはパスワードも含まれていましたが、その大半は安全にハッシュ化されていました。しかし、一部は平文のままとなっており、Hudson Rockはこれを「重大なセキュリティ上の見落とし」を示すものだと述べています。
「AFAの侵害事案は、単一の未対処な情報窃取型マルウェア感染がいかに壊滅的な結果を招きうるかを示す典型例です」と同社は述べています。「高いアクセス権限を持つ開発者の端末が侵害されたことで、脅威アクターはほぼ確実にデータベースの管理者権限と、認証済みの内部メールを送信できる能力を直接手に入れたとみられます。
「窃取された認証情報が数か月にわたり休眠状態にあったことで、同協会は誤った安心感を抱いてしまい、自社のネットワークインフラに時限爆弾が仕掛けられていることに全く気づいていませんでした」
AFAは金曜日、侵入者が送信したメールを多くの関係者が受信した後、IT部門とともにこの侵害について調査中だと報道陣に明らかにしました。
「弊協会のアカウントが不正アクセスを受けた可能性があります」とAFAは声明で述べています。「現在、状況の確認と必要なセキュリティ対策の実施に取り組んでいます」 ®