Information
SIPS Security Report

【配信日】 2020年8月31日

対岸の火事ではない!! 中国ハッカー集団が台湾政府をサイバー攻撃。

8月19日 中国ハッカーグループが台湾政府機関と数千人の政府関係者の電子メールアカウントを標的としたサイバー攻撃を仕掛け、重要なデータを盗もうとし、台湾政府と関係のある台湾ハイテク企業も攻撃を受けた、というニュースが流れた。
2017年に「サイバーセキュリティに関する総務大臣奨励賞」を受賞したpiyokango氏のブログを見ると攻撃の手口の一つとして保守用VPNアカウントを盗み攻撃したとある。
では、このニュースは日本の事ではないから・・・と言って安心していられるだろうか？

中国ブラックマーケットでは今年に入り「日本と台湾のデータを販売・・・」という同様の書き込みは8件確認されている。特に4月以降に集中してメールアカウント、CVV、DBなどが売買されている。
もしこれが同一犯であれば、日本に対する攻撃も発生するという推測もしなければならない。

そんな中、8月25日日本経済新聞のニュースで「テレワーク、VPN暗証番号流出　国内38社に不正接続」という記事が掲載された。 これは8月4日に米国ZDNetが記事にした内容と同等の内容で、脆弱なVPNのIPやパスワードなどがハッキングフォーラムで900件以上公開されていて、その中には日本のIPアドレスも含まれるという内容である。

SIPSでも当情報は確認済みで、調査班が調査した結果、ロシアのディープウェブ上にそれは存在していた。
アドレス(URL)の国別コードトップレベルドメインは「is」であるが、内容は全てロシア語で書かれていて、実際に公開されていたVPN情報には【日本のIPが92件/60社】が存在した。
しかも各社の情報はIPアドレスだけではなく、Password Hash (md5crypt)など詳細まで全て書かれている。

メディアに名指しされていた企業は軒並み被害発生を否定するリリースを公表しているが、本当に大丈夫なのだろうか？
多要素認証をしてるから・・・というコメントもあったが、ハッカーは多要素認証を無効にする方法も知っている。
先日、大量の情報漏洩事故があったが、当初は「情報漏洩の可能性がある」として発表したが、結果情報流出が次々に確認された。
これはハッカーに侵入され、多要素認証の機能を無効にされ、社員になりすまして情報にアクセスしたという手法であった。

これを今回のVPNのケースに当てはめて考えてみると、既に侵入し情報を搾取した後で、侵入や情報搾取の痕跡を全て消し去っていたとしたら、そこを確認しても【侵入の形跡はない】というのが当たり前なのだ。
何も影響が出ていないと思っているのは間違いではないだろうか？

今回対象となったVPN機器を調べるだけでは本当の意味の調査にはならない。
ハッカーはバカではない。侵入した機器に見つかるようなプログラムを設置することなどしない。
VPN経由で内部に侵入し誰も分からないような場所に悪性コードを仕込む。これがバックドアならいつでも自由に侵入ができるようになるので、継続して侵入が繰り返され最終的には大切な情報が流出することになる。
つまり調査するにはVPNと繋がる全ての機器、ネットワーク内のサーバ、PCなど全ての社内外ネットワークの詳細調査をしなければ本当の意味で安全とは言えないからである。
しかしこれをやるには莫大な費用と時間がかかる。メディアに名指しされたような大手企業が調査して1ヶ月程度で確認するのは到底困難である。

そこで新聞に実名が出なかった会社の中から、任意の1社のウェブサイトにアクセスしてみた。
しかしそこには「8月6日にランサムウェアに感染しシステム停止」となっている案内があった。
けして偶然とは思えない。
名指しされた会社は、VPNの権限情報が公開されていたという事実が分かり、名前を公表されたことを感謝し、念には念を入れてもう一度慎重に調べた方が良いと思う。

今回のVPN情報公開のニュースはある意味でで大騒ぎになったが、中国ブラックマーケットでは、VPNの権限情報公開は日常的に行われている。
昨年はVPNの権限情報の公開は1年間で5回確認され、日本のIP数は130件が存在した。
今年は本日現在で日本のIP数は確認できている数だけで111件が公開されている。
これらは今回公開された米パルス・セキュア社製VPNとは全く別のベンダーのVPNである。

中国ブラックマーケットは通常誰もがアクセスできるものではなく、特定の人間のみアクセス可能な為、公開されている事実を誰も分からず、今回のようなニュースになることはほとんどない。
ハッカーは誰も知らないうちにアクセスし、情報を搾取し、跡形もなく去っていく。
つまり大騒ぎにもならず、ハッカー達に自由にやられ放題ということだ。

我々は普段不正アクセスを受けたことや情報が流出していることに気がつかないのである。
昨年サイバーセキュリティクラウド社が発表した「サイバー攻撃の発生から発覚・公表までの期間に関する調査レポート」では、サイバー攻撃を受けてから発覚するまでに平均383日を要し、公表までは平均452日要しているという調査結果が出た。
これは被害を受けた会社の問題もあるかもしれないが、攻撃者の侵入や情報搾取の行動を隠蔽する巧みな技術があることもその要因に挙げられるであろう。

今回の米パルス・セキュア社製VPNの権限情報の公開は、これだけ大騒ぎするのに、それ以上の数が毎年中国ブラックマーケットで公開されていることは誰も知らない。
しかもVPNだけでなくmysqlやssh、php、ftp等を使うサーバの権限情報はそれ以上の数が中国ブラックマーケットで公開され、ハッカー達に情報共有されている。

最近、世界中で「中国からのサイバー攻撃・・・」というニュースをよく見かけるが、これは中国ブラックマーケットで権限情報公開が行われ、ハッカーによって各国の各種サーバがハッキングされていて、そこから侵入、情報搾取が行われているからである。

今回の台湾に対するサイバー攻撃を「日本じゃなくて良かった・・・」などとは言ってられない。
何故なら台湾より日本の方がハッキングされ権限情報を奪われているサーバの数が多いからだ。
コロナ禍によるリモートアクセスの増加、延期になったオリンピック、5年後の開催を待つ大阪万博ハッカーは社会事象や国家的イベントなどにつけこみサイバー攻撃を繰り返す。
日本の政府機関や関連企業は台湾の事例を参考に再度見直しを検討する必要がある。

今日、自分のところに攻撃が来るかもしれない。
そのくらいの危機感を持って向き合わなければ、痛い目に遭うどころか全てを失う可能性もある。

　<参考URL>
Newsweek:2020/8/19
中国系ハッカー2集団、台湾政府機関に2018年からサイバー攻撃
https://www.newsweekjapan.jp/stories/world/2020/08/22018.php

piyolog：2020/8/20
事業者に発行したVPNアカウント盗用による台湾政府へのサイバー攻撃についてまとめてみた
https://piyolog.hatenadiary.jp/entry/2020/08/20/180000

日本経済新聞：2020/8/24
テレワーク、VPN暗証番号流出　国内38社に不正接続
https://www.nikkei.com/article/DGXMZO62994110U0A820C2MM8000/

日経XTECH：2020/8/21
NTTコム・サイバー攻撃事件の深層、多要素認証を無効化されていた
https://xtech.nikkei.com/atcl/nxt/column/18/01157/081900017/