情報セキュリティの選りすぐりの技術と信頼を届けます
SIPSセキュリティレポート 2022年6月27日号
***************************************************************
日本の企業を脅かすInformation
Stealer
***************************************************************
ロシアのウクライナ侵攻が始まって4カ月が経過したが、世界的な経済不況も引き起こし、我々にも
少なかれ影響が出始めている。
一方で、その影響とも考えられる日本へのサイバー攻撃も増加していて、いつ自分のところが攻撃の
ターゲットになるか分からない状況にある。
Microsoftは、ウクライナでの戦争における脅威状況を調査した結果、サイバー攻撃やスパイ活動の
増加と新たな脅威が確認されたとされている。
調査結果には「ウクライナの教訓から、破壊的なサイバー攻撃、スパイ活動、影響力の及ぶ範囲に
対する防御を強化するために、協調的かつ包括的な戦略をとることが求められる」とあり、防衛戦略
における政府間および官民連携の重要性を強調している。
サイバー攻撃により被害の大きな事案はニュースでも大きく取り上げられるが、やはり情報を盗まれ、
システムを暗号化されてシステムが停止するランサムウェア攻撃はニュースになることが多く、日本では
今月も何社も被害が出ている。
しかしランサムウェア攻撃は、ターゲットに対して1回で攻撃を成功させるわけではなく、綿密な計画の
下で実行されている。
ランサムウェア(マルウェア)をターゲットとなるサーバに設置するには、そのサーバにログインする必要がある。
方法は幾つかあるが、脆弱性を突いて侵入する方法とマルウェアを駆使してログイン情報を盗み取り
侵入する方法が代表的な手法である。
脆弱性を探すのは簡単で、ネットワークスキャナを使えば良い。現在のスキャナは地域やアプリケーション
更にはアプリのバージョンなどが指定できる。つまり特定のアプリの脆弱なバージョンを設定すればスキャン
ニングしてリスト化される。このようなツールがインターネット上には多数存在する。
中国ブラックマーケットでは、SQLの脆弱性有無を確認するツールが販売されている。
これは任意のドメインを入力するだけで簡単に脆弱性を見つけ出すツールである。
どのような脆弱性か分かれば、それを利用して侵入すれば良いという事である。
しかしターゲットに脆弱性が存在するとは限らない。そこで最近はマルウェアを利用した攻撃が多い。
最初はメールアドレスの取得で、これはターゲットに関連する企業や取引先が入手できれば良い。
次はマルウェアの配布で、スピアフィッシング攻撃で添付ファイルやダウンロードによりマルウェアに感染させ
様々な情報を窃取する。この中には各種ログイン情報も存在していて、仮に感染者にシステム管理者
が存在すれば、社内システムのログイン情報が存在する可能性がある。
何度か繰り返し情報窃取することで、システム管理者の情報が入れば社内重要サーバにログインできる。
ログインしたらバックドアやリモートアクセス用のプログラムを設置する。これは次回に確実にアクセスできる
ようにするためで、いつでも遠隔操作を可能とする目的である。
その次は調査である。サーバ内の情報を確認し重要情報であるか否かを確認する。
確認が出来たら、重要情報を任意の場所にコピーする。
そして最後にランサムウェアプログラムを設置して暗号化する。
手順は多いが、この方法であれば脆弱性がなくても侵入できる。何故なら正規のシステム管理者権限
のアカウントでログインしているからである。
しかも、ブラックマーケットには、メールアカウントを専門で収集して販売する人、情報窃取マルウェアを
利用できるクラウドサービス、情報窃取する時に利用するC&Cサーバとボットネットのレンタルサービス、
そして、「セキュリティ検知の回避プログラム」「バックドアアカウントの隠蔽プログラム」「各種ログの消去
プログラム」などハッキングツールが売買されている。
ブラックマーケットは流出した企業情報や個人情報の売買だけではなく、ハッキングに関する様々な情報
が存在している。自分がすることは極僅かである。
問題となるのは情報窃取マルウェアである。Information
Stealerとも呼ばれ様々な機能を持つ
多数のマルウェアが存在していて、最近ブラックマーケットでトレンドとなっているマルウェアは、Emotet、
Vidar、Raccoon、Redline、Smokeloader、Mars、などがある。
一度PCに侵入すると、自信をコピーして分身を潜伏させて隠蔽する。
自信はメールを使って関係者にスパムメールを配信し拡散を図る。
分身は潜入したPCから各種情報を窃取し、C2サーバを利用して外部に情報を送信する。
もちろん今どきのプログラムは送信履歴を残さないように出来ている。
このように拡散を繰り返し、情報を窃取すれば上位権限者の情報に辿り着くという事である。
SIPSの分析で過去に情報窃取マルウェアによりシステム管理者の情報が流出し、ランサムウェア攻撃を
受けて大きな被害を受けた企業が存在している。
ブラックマーケッで、この情報窃取マルウェアによって流出した各種ログイン情報を掲示しているのを発見
したので分析してみると、日本の有名企業100社の中で6割程の企業から10万件程の各種ログイン
情報が流出していた。しかもこの情報は日々追加されアップデートされているのである。
これでは日本が次々とサイバー攻撃を受けるのも理解できる。
一方日本では、マルウェアに感染しても検出ソフトで検出対応し、「情報流出の痕跡は確認されません
でした、今後セキュリティに配慮し十分留意いたします」と公開する企業や団体が多いが、これは攻撃者
の思うつぼになっていると言わざるを得ない。
セキュリティ検知を回避して潜伏し痕跡を残さない手法なのだから、安易に検出も痕跡も確認できる
はずがないのである。
マルウェアによって流出しているマシンを特定し対応しなければ延々と情報は抜かれ同じことを繰り返す。
また、情報窃取という意味では興味深い記事があった。
動画に特化したSNS「TikTok」が各種情報を流出させるバックドアが含まれているという記事である。
ここには米オンラインメディアBuzzFeedが掴んだ確固たる証拠があるという内容が記載されていた。
TikTokがユーザの電話番号、誕生日、位置情報、連絡先など多くのデータを収集しているのは周知
の事実で中国政府に情報が渡るという懸念から米国政府関係者は利用禁止になっている。
更に最近北朝鮮のハッキンググループが使う情報窃取マルウェア「Andariel」の流布も確認されている。
これら情報窃取マルウェアはロシア、中国、北朝鮮が利用していて、日本企業の機密情報も狙われて
いる。しかも巧妙かつ高機能なプログラムである。
よく考えてみてほしい、企業もセキュリティ製品も進化しているにも関わらず、サイバー攻撃は急増している。
数年前までは、大きなサイバー攻撃被害など年間で数件程度しかニュースになっていなかったが、最近は
毎週、いや毎日のようにニュースで見かける。
昨年日本ではRedline、今年に入りEmotetが大流行しているが、もしかしたら、もう情報収集段階は
終了し、攻撃のステップは終盤に入っているのかもしれない。
情報窃取マルウェアを軽んじてはいけない。
いつ起きるか分からないサイバー攻撃の被害を最小化できるのは貴方自身しかいない。
-----------------------------------------------------------------------------------
<参考URL>
日経XTECH:2022/6/21
トヨタ工場も止まった 「6割が被害」の要因
https://xtech.nikkei.com/atcl/nxt/mag/nc/18/061200298/061200001/
GigaZine:2022/6/20
TikTokがアメリカ人のデータを中国に流すバックドアを仕込んでいるとの報道
https://gigazine.net/news/20220620-tiktok-us-user-data-china/
ZDNet
Japan:2022/6/10
新たな形態のLinuxマルウェアが見つかる--検出は「ほぼ不可能」
https://japan.zdnet.com/article/35188748/
BLEEPING COMPUTER:2022/6/23
Chinese hackers use
ransomware as decoy for cyber espionage(英文)
https://www.bleepingcomputer.com/news/security/chinese-hackers-use-ransomware-as-decoy-for-cyber-espionage/
Copyright (C) 2014 SouthPlume Co.,Ltd. All Rights Reserved