日本人が知らない、国家主導型サイバー攻撃
1億5000万人が被害に! エキファックスの情報漏えい事件
近年、国家主導型サイバー攻撃の被害が世界各国で増え始めている。本連載では、国家主導型サイバー攻撃のねらいと手口について、世界のサイバー事件に詳しいマカフィー
サイバー戦略室 シニアセキュリティアドバイザー CISSPのスコット・ジャーカフ氏に事例を交えながら解説していただく。
2017年、米国の大手信用情報企業であるエキファックスは、サイバー攻撃によって大量の個人情報が流出したことを明らかにした。同社は主に個人のクレジットカードやローン、支払い履歴、債務不履行の有無に関する情報などを調査する企業で、個人を特定可能な財務データを多数所有している。これらのデータが盗まれるということは、個人としても企業としても非常に深刻な問題であることは言うに及ばない。今回は、大規模な情報漏えい事故へと繋がったエキファックスに対するサイバー攻撃について、お話を伺った。
Apache Struts2の脆弱性を突いた国家ぐるみの攻撃
エキファックスがサイバー攻撃を受けて流出を許してしまった情報は、米国の顧客約1億5000万人の社会保障番号や生年月日、住所などといった個人情報。また米国だけでなく、英国やカナダの市民も被害に遭っている。
攻撃者は、ジョージア州・アトランタにあるサーバをターゲットに、Apache
Struts2の脆弱性を悪用し、2017年5月から7月にかけて不正アクセスを行っていたものとみられる。
このApache Struts2の脆弱性が公表されたのは2017年3月だった。同様の脆弱性を突いた攻撃により、日本のいくつかの企業や組織も情報漏えいによる被害を受けていることを公表している。エキファックスの発表によると、3月にこの脆弱性情報が公開された後にパッチ適用を進めたものの、いくつかのシステムで適用が抜けていたため、7月までこの情報漏えいに対応できなかったとしている。
ジャーカフ氏によると、この攻撃は国家ぐるみで実行された痕跡があるという。
「その手口から、私は中国によるものである可能性が非常に高いとみています。中国による国家主導型サイバー攻撃の特徴は、ロッキード・マーティンが提唱する『サイバー・キルチェーン』の各プロセスに対して、複数のチームがそれぞれ対応していることです」(ジャーカフ氏)
例えば、サイバー・キルチェーンの「偵察」プロセスに対応する部隊が、企業サイトやSNSなどの情報からターゲットの情報を収集するなどして侵入口を探し、別のチームがこれらの情報を用いて実際にネットワークへの侵入を試みるといった具合に、複数のチームがサイバー・キルチェーンの各ステージでそれぞれ活動し、次のプロセスを担当するチームと連携していく流れで攻撃が行われるのだという。
国家主導型サイバー攻撃は検知しづらい?
情報漏えい自体は5月に発生するも、発見されたのは7月。
発覚までにかなりの日数を要しているように思われるが、ジャーカフ氏は「我々の調査によると、組織における情報漏えいが発生してから発覚するまでの平均は243日です。この数字をみると、エキファックスのケースは比較的早い段階で発見できたという見方もできます。国家主導型の場合は特に、通常のサイバー防御で想定される攻撃のパターンと大きく異なるため、検知が非常に難しいのです」と説明する。
第一に、外部の悪意ある攻撃者に侵入されないようにすることが一般的な防御の考え方であるため、インバウンドでトラフィックが発生するようなサイバー攻撃は、一見して怪しいものであることがわかり、比較的検知しやすいと言える。
一方で、国家主導型のサイバー攻撃は通常、いわゆるスピアフィッシングの手法を用いることが特徴だ。今回のApache Struts2の脆弱性を利用したエキファックスへの攻撃とは別の話になるが、一般的には、内部に何らかの手段を使って侵入し、そこで悪意のあるファイルやソフトウェアを開き、アウトバウンドのトラフィックを発生させ、そこからコマンド&コントロール(C&C)サーバに接続して外部からさらに攻撃を仕掛けてくるようなパターンを取るため、インバウンドでトラフィックを発生させるようなサイバー攻撃とはそもそも攻撃のパターンが異なる。
「一旦C&Cサーバとの接続が確立してしまえば、C&Cサーバに対してトラフィックを発生させたとしても、FacebookやTwitterへの投稿などのトラフィックと同じようなものに見えてしまいます。トラフィック自体が怪しいものだとしても、アウトバウンドのトラフィックは他のものに紛れてしまうため、異常を検知することは藁の山のなかから針を一本探すような難しい状況になってしまいます」(ジャーカフ氏)
経営陣のセキュリティ意識の甘さが招いた事故
とはいえ、今回のエキファックスの情報漏えいは、前述したとおりApache
Struts2の脆弱性への攻撃が元になっている。
ジャーカフ氏はこの事故について「エキファックスの経営層がセキュリティに対する投資について真剣に考えていなかったことの表れと言えるかもしれません」と指摘する。Apache Struts 2の脆弱性は、攻撃者にとっては攻撃しやすく、これまでにも甚大な被害が多数報告されてきている。
さらに、エキファックスは、個人を特定できる価値の高いデータを扱っているため、攻撃者からしてみれば格好の攻撃対象であった。強固なセキュリティ対策が必要なのは明白だが、少なくとも当時のエキファックスの体制では不十分であったというわけだ。
システムの脆弱性には予見できない部分が多く、100%の安全はない。セキュリティはコストではなく投資として考える必要があるということを、ぜひこの事故から学んでほしい。
なぜ情報漏洩は繰り返されるのか?
【誰が何のために?】金融機関を狙うのは窃盗?それとも国家的な経済的損失を狙う攻撃?
メキシコ中銀でサイバー攻撃か、複数の銀行から大規模な資金引き出し
Michelle F. Davis
メキシコの中央銀行は、一部の金融機関にハッカーが不正侵入し無断送金した可能性があり、複数の同国の銀行がここ数週間に大規模な資金引き出しに見舞われていることを明らかにした。
メキシコ中銀の事業責任者ロレンツァ・マルティネス氏はブルームバーグとのインタビューで、同中銀の電子決済システムへの外部接続が不正アクセスされた金融機関5社に中銀は焦点を絞っているとコメント。脆弱(ぜいじゃく)性を背景にこれらの金融機関の「偽の口座」から不正に資金が吸い上げられ他の銀行からの複数の大規模な資金引き出しにつながったと説明した。
マルティネス氏によると、5つの銀行と証券会社は組織犯罪集団がサイバー攻撃を画策したかどうかを究明するためメキシコの検察当局と協力しているが、中銀はこの捜査に関与していない。同氏は対象の金融機関名には言及せず、事件の背後に何人いるのか判断するのは時期尚早だとした。検察当局の報道官に取材を試みたが業務時間外で返答は得られていない。原題:Mexico Says Possible Bank Hack Led to Large Cash
Withdrawals (1)(抜粋)
メキシコの銀行システムにサイバー攻撃 16億円以上盗まれる
2018年5月17日 21:55 発信地:メキシコ市/メキシコ
http://www.afpbb.com/articles/-/3175033
【2018年5月17日 AFP】メキシコの中央銀行は16日、国内の銀行間送金システムにハッカーによるサイバー攻撃が複数回あり、数週間で約3億メキシコペソ(約16億8000万円)が盗まれたと明らかにした。
中央銀行のアレハンドロ・ディアス・デ・レオン(Alejandro Diaz de Leon)総裁は記者団に、この不正行為による被害額は「およそ3億ペソ」と明かした上で、商業銀行の顧客口座が同様の危険にさらされることは決してないと述べた。
同総裁は、現在捜査が行われていると述べたが、ハッキングの容疑者が国内または海外の人物なのかなどについては明かさなかった。
同銀のロレンツァ・マルティネス(Lorenza Martinez)氏は、少なくとも5回のサイバー攻撃があったことを明らかにしたが、攻撃の回数についてはまだ分析中だと述べた。(c)AFP
JR東日本にサイバー攻撃
環境省にサイバー攻撃
先週のサイバー事件簿
日本を狙うサイバー攻撃キャンペーン
2018/04/24 09:50:36 https://news.mynavi.jp/article/20180424-security/
2018年4月16日週にかけて発生したセキュリティに関する出来事や、サイバー事件をダイジェストでお届け。日本を狙ったサイバー攻撃キャンペーン、「ChessMaster」が新たな活動を開始。標的型メール攻撃で始まるため、メールの添付ファイルを開くときは入念な確認と注意を怠らないようにしたい。
マルウェアが仕込まれたマインクラフトのスキンが拡散
2018年4月20日の時点で、人気ゲーム「マインクラフト」のユーザーを狙ったマルウェアが拡散されている。拡散件数は30日間で約5万件におよぶという。
対象となっているのは「Minecraft:Java Edition」で、キャラクターの外見を変更するスキン(PNGファイル形式)に不正なスクリプトが仕込まれている。スキンデータは正規サイトにアップデートが可能なため、拡散件数が増大した。このスキンを読み込むと、最悪の場合HDDがフォーマットされたり、システムプログラムが削除される可能性があるという。すでにこの問題は対策済みで、アップロードされているスキンファイルから、イメージデータ以外のデータを除去するアップデートも導入されている。被害の多くはロシア、ウクライナ、米国などだが、注意しておくに越したことはない。
日本を狙う標的型サイバー攻撃キャンペーン「ChessMaster」
日本を狙う標的型サイバー攻撃キャンペーン「ChessMaster」の新たな活動が確認された。ChessMasterは2017年7月にも明らかになった攻撃キャンペーンで、学術界、メディア、政府機関のような日本の組織を標的に攻撃を行っていた。
2017年9月以降は、バックドア型マルウェア「ANEL」の亜種を利用したものを確認。ANELは、ブラウザの情報やメールクライアントの情報を窃取する。
ChessMasterの攻撃は、不正なファイルが添付されたメールから開始。メールの件名と添付ファイル名は日本語で書かれており、時事的な文言や仕事関係で使われる言葉を使い、ユーザーの興味を惹くように仕向けている。
PCにChessMasterが侵入すると、オープンソースのRAT「Koadic」をダウンロードし、PCから情報を窃取。この情報を判別して攻撃対象にできると認識すると、コマンド&コントロール(C&C)サーバからANELをダウンロードし、感染PCの環境情報をC&Cサーバに送信する。
対策としては、セオリー的な行動が有効。OSやセキュリティソフトを最新の状態にしておくのは大前提で、メールに添付してあるOffice文書などを開くときは、それが正規なものか確認してから行う。
既存ランサムウェアのコードを再利用したファイル感染型コインマイナー
4月19日の時点で、ファイル感染型コインマイナー「PE_XIAOBAMINER」が確認された。XIAOBAMINERは不正なマイニング活動だけでなく、ファイルへの感染活動やUSBワーム活動といった機能も備えるランサムウェア。2017年10月に確認されたランサムウェア「XiaoBa」に酷似しており、XiaoBaのコードを再利用してマイニング機能やワーム拡散機能を追加したものとみられている。
XIAOBAMINERに感染したファイルは、本来の機能を失い、コインマイナーの機能が実行される。また、すべてのディレクトリを検索してシステム上の重要なファイルにも感染するため、結果として感染PCの動作は不安定になる。ファイルに対してコードが追加されてしまい、取り除くことは困難。
有効な対策は、システム上の脆弱性を突く攻撃をブロック可能な、ファイルレピュテーション(FRS)対応のセキュリティソフトを導入することなど。
プレミアム・アウトレット、会員約24万件のアカウント情報が流出
三菱地所・サイモンは4月14日、同社が運営する通販サイト「プレミアム・アウトレット」のメールマガジン会員組織「ショッパークラブ」から、情報の一部が流出したことを明らかにした。流出したのはメールアドレス、ログインパスワード。
流出した情報のうち、24万件分はメールアドレスとログインパスワードが合致しており、3万件分はメールアドレスのみが合致していた。そのほかの情報は外部データには含まれていないとしている。流出の原因は不明で、現在調査中とのこと。
すでに会員には個別に告知し、会員情報データベースをネットワークから切り離した。2018年4月24日現在、新規会員登録の受け付け、既存会員のログインが停止されている。
〈管理人より〉今や未曽有の世界的な「情報戦争」の時代といえます。他国と差別化できる技術力、開発力をもった先進国同士で「リアルに軍事力で」の戦争はおきないです。相手国、仮想敵国に対して、対象国の知らないうちに機密情報、重要情報を盗んでいく、そしてあたかも自国で開発した技術であるかのように開発につなげる、しかしそれが対象国の国際的な信用を貶めたり、国力の低下につながります。まさに世界的な情報戦、サイバー戦こそが「第三次世界大戦」といえるでしょう。
何だこりゃ!?
