情報セキュリティの選りすぐりの技術と信頼を届けます
SIPSセキュリティレポート 2020年11月2日号
***************************************************************
サイバー攻撃者が利用するハッキングツール
***************************************************************
サイバー攻撃の勢いは止まらない。
最近ではコロナウイルスに関連した給付金2回目というフィッシングメールが確認されているが、サイバー
攻撃はフィッシングだけではない。
直接サーバに不正アクセスして情報を搾取するケースも多く、企業としては注意しなければならない。
日本国内で9月、10月には多くのサーバがハッキングされて大量の情報が流出してしまっている。
流出したデータは主に個人情報であり、結果として流出した個人情報は不正利用されて流出した
情報本人に被害をもたらし、企業は個人への補償と信用失墜の被害が発生する。
もちろん直接被害を受けた企業や団体もあり、なりすましによる不正グインで直接現金を引き出される
など大きな被害が発生している。
では、サイバー攻撃者はどのような手法で攻撃をしてくるのか考察してみよう。
中国ブラックマーケットではハッキングした情報の売買だけでなく、ハッキングツールやハッキングに利用
するソースコードも販売や情報共有している。
その中で確認された一部を幾つか紹介してみたいと思う。
最初はネットマスクの範囲を指定してスキャンするツール【L-ScanPort】である。
L-ScanPortは、指定されたIP区間で開いているポートスキャンが可能であり、IPアドレスを指定し
必要な設定をすれば、その範囲内で空いているポートがどこか見つけてくれる。
同様のソフトでは【SuperScan】というものもある。
これは、ターゲットホストが提供するサービスタイプを確認し、開いているポートをリスト化してくれる。
また、トロイの木馬リスト(trojans.lst)を通じてターゲットコンピュータにトロイ木馬がインストールされて
いることを確認し、もしインストールされている場合、トロイの木馬のポートリストを直接変更可能である。
一般的に任意のIPアドレスをIP検索ツールで検索すれば利用しているISP及びISP内のネットマスク
範囲が容易に確認できる。
このようなツールで、そのネットマスク範囲を指定してやれば、ポートが空いているIPアドレスやサービス
の種類などが分かる。
ここまで分かれば、当該IPアドレスに空いているポートに向けて侵入準備が可能となる。
続いて【サブドメインスキャン】というツールである。
これは任意のドメインを入力すると、該当ドメイン内のサブドメインを検索し表示させるツールである。
これはWebサーバに利用されるが、トップページや他のページからリンクされていないページで存在しても
検索されて表示されてしまうので、Webサーバ内の構成が明らかになり、重要データなどが同サーバに
あればハッキングのターゲットになってしまう。
また【WordPress】と呼ばれる、ウェブサイトの絶対パスを表示させるソフトや【Guige方舟ツール】と
いったターゲットのWebサーバ内にあるリンクする別のWebサイトを検出するツール、そしてWebサーバ
に存在する、あらゆる脆弱性を検出するソフト【WebRobot】などもある。
次はアンチウイルスソフトバイパス処理のためのパッキングソフト【Huazhong
Packing】である。
これを使えばアンチウイルソフトには検知されず侵入することが可能になる。
これ以外にも、アンチウイルスを無効化するための電子署名や暗号化するソフトも多数確認されている。
更にリモートコントロールツール
リモートコントロールツールは多数のツールが確認されているが、これを使うとファイル管理、画面制御、
システム管理、サービス管理など全てがリモートでコントロールできてしまう。
また、ファイルダウンロード、画面モニタリング、キーロギング、ディレクトリおよびプロセスの管理、録音
などの機能を含む多機能のリモート制御プログラムも存在し利用されている。
最後にファイル融合ソフト【File
binder】である。
これはtxtファイルとexeファイル、jpgファイルとexeファイルのように二つのファイルを一つにしてしまう。
これにより悪性ファイルであるexeファイルをtxtファイルやjpgファイルのように見せかけることができる。
これを使いtxtファイルであればメールに添付することもでき、jpgファイルをメールやWebへ挿入する
事も可能になる、そしてこのファイルにアクセスすればサイバー攻撃者の意のままにされてしまう。
ここに紹介したハッキングツールはほんの僅かであるが、SIPSでは既に数千個のハッキングツールや
ハッキングソースコードを確認している。
これらを使えば、任意のIPアドレスに対して確認を行い、サービスの種類からサーバ種別を特定し、
それに合わせて侵入準備、侵入ができてしまう。
逆に言えば、これらのツールを企業が理解しておけばハッキング対策にも有効になるという事だ。
セキュリティソリューションはセキュリティ上有効であるが、完璧ではない。
何故ならセキュリティソリューションは情報が公開されているため、その情報はサイバー攻撃者も入手し
その技術に合わせて検知を回避するプログラムを作り出し侵入時に利用しているからである。
そして各ベンダーから開示される脆弱性情報を使い、脆弱性のあるサーバを特定しそこを狙って侵入
してくると言う訳だ。
9月に続き10月も日本の多数のサイトがハッキングを受けて被害を受けている。
セキュリティニュースで公開されていた中には、国の機構である原子力規制委員会やTEPCO
Web、
GMOクリック証券など有名なWebサイトがあり、それだけでなく通販サイトなど多数ハッキング被害が
ニュースとなり公開されている。
公開されていないハッキング被害の中には、自動車関連企業の重要データが大量流出している会社
や求人関係の個人情報30万件流出している企業もSIPSの調査で確認されている。
SIPSの調査では、特に最近は中国に限らず、ロシアや欧州からのハッキングも多数確認されており
日本が世界中からハッキングのターゲットになっている印象がある。
コロナ禍の中、国はGoToキャンペーンなどで経済活性化を推進しているが、その前にハッキング被害
による損失を防ぐための対策や指導を進めなければ、一部が活性化してもハッキング被害により海外
に流出する金額が多く、結果として日本国内の経済は上向きにならないのではないだろうか?
今回ハッキングツールに関して記載したが、サイバー攻撃者は企業の大小に関係なく無差別に高度
な技術を使って侵入し情報搾取するという事をしっかり理解して対策を検討してほしい。
今狙われているのは貴方の会社かもしれない。
そんな危機感を持ってもらいたいと願ってやまない。
---------------------------------------------------------------------------------
<参考URL>
Cyber
Security.com:2020/10/30
原子力規制委員会のシステムが不正アクセス被害
https://cybersecurity-jp.com/news/44347
ScanNetSecurity:2020/10/28
GMOクリック証券で不正な149万円の出金確認、二段階認証実装予定
https://scan.netsecurity.ne.jp/article/2020/10/28/44741.html
朝日新聞:2020/10/15
「給付金2回目支給」偽メール多数送信 注意呼びかけ
https://www.asahi.com/articles/ASNBH53TLNBHUTFK00L.html
Copyright (C) 2014 SouthPlume Co.,Ltd. All Rights Reserved