SouthPlume                                               情報セキュリティの選りすぐりの技術と信頼を届けます

                                   

SIPSセキュリティレポート 2022年9月12日号

***************************************************************
  サイバー空間で今日本に何が起きているのか?
***************************************************************
9月6日、日本の各府省がインターネットを通じて提供する行政情報の総合的な検索・案内サービスで
ある電子政府[e-gov.go.jp]がDDoS攻撃を受けてサイトが一時ダウンした。
攻撃者は“KILLNET”を名乗るロシアのハッキンググループで、それ以外にも地方税のポータル「eLTAX」
「JCB」「mixi」「ニコニコ動画」「名古屋港管理組合」などが同様に攻撃を受けサイトに影響が出た。

9月7日 に入ると
15:37
日本地図に銃のターゲットアイコンが表示され「TARGET LOCK」KILLNETの画像表示と共に
「兄弟の皆さん、明日から東京を攻撃する準備ができているか?」のコメントが書き込まれた。

18:29
KILLNETが日本政府に対する宣戦布告メッセージ動画を投稿
「今日、私たちは日本政府に公式に宣戦布告する!」と42秒の動画が公開される。

18:48
SIPSから注意喚起を発信

その後、東京メトロ・大阪メトロ、5ちゃんねる(2ちゃんねる)などが攻撃を受けてサイトに影響が出ている。

KILLNETの日本攻撃にあたり、9/6からはSNSのTelegramには関連する書き込みが山積していた。
中には、攻撃する日本サイトのリンク収集活動と思えるコメントもあり「もし日本人がいたら国内サイトリンク
をアップしてください!」と日本人にまで呼びかけている。

さて、これら一連のサイバー攻撃に関して耳にした方も多いと思うが、皆さんはどのように感じたのだろう?
日本が攻撃を受けていることに対して、恐怖心を覚えた人はどのくらいいるのだろうか?
ITに詳しくない人であれば、「何か悪いことをしている人がいるな・・・」という反応ではなかっただろうか?
ITを分かっている人であれば「DDoS攻撃か・・・迷惑だな」位だろうか?
しかしDDoS攻撃は実は大きな問題を引き起こす攻撃であり、場合によっては東日本大震災以上に
社会的影響を及ぼす可能性さえある。

DDoS攻撃とは、複数のマシンから特定のマシンに対して一斉にアクセスして、標的サーバに過剰な
負荷を与えて、サービスを停止させるという攻撃である。
この攻撃は、だいぶ前から存在していて宗教的または政治的な信念に動機付けられて、反対勢力に
対して攻撃するということに多く使われてきていた。

この攻撃の対策は、攻撃してくるマシン(IPアドレス)や国を特定して、その通信を遮断すれば攻撃は
治まるというのが今までの定説であったが、昨今の攻撃者は、ボットネットという攻撃者が遠隔操作して
アプリケーションを自由に操作実行することができるゾンビPCのネットワークから攻撃が行われる。
それによって国の特定が難しく、数も無数に存在するため、全てを特定できないのである。

ボットネットは世界中のゾンビマシンとつながっていて、その数は数千万台とも数十億台とも言われる。
そもそもゾンビマシンは、一般的に使っているPCやサーバだけでなくIPアドレスを持つネットワーク機器や
IoT機器など様々な機器が存在するが、自分のマシンがゾンビ化していることに気付いていない場合が
多く、利用されるボットネットに自分のマシンが登録されていれば、攻撃者として加担していることになる。

DDoS攻撃を受けると、サーバがダウンしてしまい通常のサービスができなくなってしまう。
もしこれが、電気、ガス、水道や交通機関、病院など生活インフラ企業の基幹システムに発生したら、
サービスの停止は直接私たちの生活に影響してしまうことになる。

電気が止まれば、エアコンや冷蔵庫も動かず、熱中症や物の腐敗などの影響が出る。
交通機関がとまれば帰宅難民状態に陥り、病院が機能しなければ命の問題に関わってくることになる。

DDoS攻撃といえば、今年2月広島県で発生したDDoS攻撃は丸2日以上攻撃が続き、その間は
一切自治体のサービスが提供できなかった。
皆さんの会社に3日間DDoS攻撃が発生し業務が停止したらどうなるか考えてみてほしい。

しかしDDoS攻撃はサービスを停止する「嫌がらせ行為」だけではない。
前述したように、ターゲットが重要インフラに関連する基幹システムであれば、大問題が発生する。
場合によっては、日本の経済にも大きな影響が出てしまう。
今回のDDoS攻撃のターゲットになった名古屋港管理組合、東京メトロ、大阪メトロは交通インフラ
企業であり、もしも停止したサーバが重要な基幹システムであれば直接私たちの生活に影響が出た
に違いない。KILLNETは正にこれを狙っていたのかもしれない。

それ以外には、DDoS攻撃を続け「停止してほしければ金銭を払え」という脅迫が来る場合もある。
そして最も警戒しなければならないのは、DDoS攻撃を行い、皆の関心がそちらに行っている隙に、
別のサーバに侵入して機密情報や個人情報を盗み出すことが起きる可能性である。
一方でDDoS攻撃中に気付かない間にマルウェアが送り込まれ、DDoS攻撃が終了後にネットワーク
がウイルスやマルウェアで無茶苦茶になるケースも多く確認されている。

システムを暗号化するランサムウェア攻撃は最近ではボットネットを利用して攻撃するケースが多く確認
されているが、ボットネットからDDoS攻撃をされている時に、ランサムウェア攻撃のためのマルウェアを
送り込まれていれば、もうそのシステムは自由にコントロールされて暗号化されてシステムが停止する
のを待つ、・・・ということになってしまう。

【宣戦布告】とは「公式に戦争を開始する」という意味であり、数日攻撃して終わりという意味ではない。
KILLNETが動画で行った宣戦布告は、【サイバー戦争の開始】を意味し、これから次々と攻撃をする
という意味であると考えるべきである。

もう一つ気を付けなければならないのは、Telegramに投稿される情報にフェイクの情報を入れてくる
可能性があると言うことである。
サイバー攻撃によく使う手法でもあるが、一般的にアクセスできる場所にはフェイク情報を投稿して動揺
させて注目させておき、誰もがアクセスできないブラックマーケット内の特定チャネルには、別の目的と行動
が確認されることが多々ある。情報の真偽を考え、適切な対応をすることが今一番重要である。

既に、宣戦布告されサイバー戦争状態に入った日本の政府、企業、団体、組織、個人は自らが攻撃
されて受けるリスクを想定し動かなければ、大変なことが起きてしまう。
「これからが始まり」であるということを忘れてはならない。

もちろんKILLNETは日本に後悔させるようなダメージを与えることが目的であり、今後も生活インフラ企業
が攻撃される可能性は高い。
銀行や医療、電気、ガス、水道などのインフラが狙われれば、正に日本は混乱に陥り、経済的にも大きな
ダメージが出ることは間違いない。

しかし、日本に対するサイバー脅威はロシアからだけではない。
日本政府が指定するサイバー脅威国家にはロシア以外に中国と北朝鮮もある。

最近、中国ブラックマーケットでは盛んにゾンビマシンの販売の書き込みが目立つ。
つまり、これもボットネットに繋がり、DDoS攻撃やランサムウェア攻撃をすることができるということだ。
それに増して個人情報やクレジットカード情報、身分証などが盛んに売買されていて、7月8月の2ヶ月
で確認された脅威情報は今年の1月から6月の半年間で確認された脅威情報の数を超えている。

北朝鮮はサイバー攻撃だけではなく、闇市場で入手した身分証を偽造して、現実社会に身分詐称で
侵入するハイブリッドな攻撃、スパイ行為まで行っている。
今年5月神奈川県警の捜査では、中国に住む北朝鮮のIT技術者が在日韓国人の名義を使い
日本企業に侵入してアプリ開発などに関与したことが浮き彫りになった。

米国政府は、北朝鮮がIT労働者を外貨獲得源として、国内外で数千人を稼働させていて、偽の
身分証を使い、韓国人や中国人、日本人などを装って企業と契約し情報を盗み外貨獲得の抜け
穴としているという内容と同じ構図である。

北朝鮮だけでなく、中国も同様の動きをしている。
もしも企業で採用した外国人が優秀に仕事をしていても、自国の政府からの指示で、企業内に
バックドアやRATなどのマルウェアを設置したとしたら、確認する術もなく企業情報は筒抜けになって
しまうことになる。仮に情報流出の原因を探っても根源が分からなければ、恒久的に情報が流出する
ことになってしまうのである。

今回ロシアからの攻撃を受けて感じた印象は、「日本はあまりにも関心が薄い」ということである。
KILLNETは9月7日の宣戦布告以降、大きな攻撃をしてきていないように見えるが、おそらく7日から
8日の攻撃だけではなく別の攻撃も考えているに違いない。
一大事になる前に真剣に向き合わなければ、日本の国力は低下の一途を辿るだろう。
安易に考えるのではなく、もっと危機感をもって対応することを接に願うばかりである。

日本はロシア、中国、北朝鮮から狙われ、サイバー空間で無残に日本の資産を奪い取られているという
ことを忘れてはならない。
***************************************************************
 <参考URL>
JIJI.COM:2022/9/11
サイバー攻撃、長期化懸念 ロシアのハッカー、インフラ標的
https://www.jiji.com/jc/article?k=2022091000328&g=eco

NHK:2022/9/7
政府サイトなどへのサイバー攻撃 一部で障害出る状態続く
https://www3.nhk.or.jp/news/html/20220907/k10013807861000.html

日本放送 NEWS ONLINE:2022/9/8
増加するサイバー攻撃 「某政府」からアルバイト代をもらった中国人が、日本語の勉強を兼ねて行う事象も
https://news.1242.com/article/385050

読売新聞:2022/5/18
北朝鮮「IT労働者」、サイバー攻撃加担の恐れ…米政府が危険性を指摘
https://www.yomiuri.co.jp/national/20220517-OYT1T50302/


                                  Home     製品情報     サービス     会社情報     お問い合せ

Copyright (C) 2014 SouthPlume Co.,Ltd. All Rights Reserved