情報セキュリティの選りすぐりの技術と信頼を届けます
SIPSセキュリティレポート 2022年12月2日号
***************************************************************
サーバの管理者権限やVNPの接続情報の流出は何故起きるのか?
***************************************************************
サッカーワールドカップが開催され、日本は強豪ドイツ、スペインを撃破して国内でも盛り上がりを見せて
いる。 しかし、この「ワールドカップ」の盛り上がりに便乗するようにサイバー攻撃が増加している。
FIFAのヘルプデスクを装いフィッシングサイトへ誘導、チケット窓口を装った偽の請求、公式パートナー
へのなりすましによるフィッシングなどである。
オリンピックやワールドカップといった国際的なスポーツイベントや経済的、政治的なイベント等では必ず
と言っていい程確認されているサイバー攻撃であるが、今回のワールドカップも例外ではない。
チェック・ポイントの子会社AVANAN社は、白熱するファンへの大規模なフィッシング攻撃に注意喚起を
行い対策を公開しているので参考にすることをお奨めしたい。
フィッシングメールが来ても自分の情報は書き込まないから大丈夫!という人もいるかもしれないが、最近
のフィッシングメールでは、言葉巧みに攻撃者の意図する偽サイトにアクセスさせて悪性マルウェアをダウン
ロードさせる手法が増えているので、けしてメールにあるURLやアクセスボタンからアクセスしてはならない。
最近のメールはリンクURLを画像に埋め込みその画像をクリックするとリンク先に移動するHTML形式の
メールが一般的になっていることも被害が拡大している一因だろう。
フィッシングメールの今までの手法は、興味のある内容の添付ファイルにアクセスさせてマルウェアを設置さ
れるといった手法が多かったが、最近は指定のURLにアクセスするだけでファイルをダウンロードさせられて
PC内部に設置し任意のタイミングで活性化して悪性マルウェアに変化するといった手法が増加している。
これらのマルウェアはほとんどが情報窃取マルウェア(インフォメーションスティーラー)と呼ばれ、PC内部に
存在するログイン情報や暗号資産情報、各種ユーザ認証情報を狙い、盗み取っていくというものである。
今年の初めに流行したEmotetもその類であるが、それ以外にも多数の情報窃取マルウェアが存在する。
今年確認されたインターネット上の「ファイルフォーマット変換サービス」では、ユーザが変換するファイルを
アップロードするように誘導し、「変換」ボタンをクリックするとダウンロードページに移動。
ダウンロードボタンをクリックするとZIPファイルがダウンロードされ、解凍するとショートカットファイルが現れ
その後実行可能なファイルに変換され、PDFがダウンロードされペイロードで悪意のコードが実行される
というものである。
悪意のあるコードは、感染したシステムから次々情報を収集し、攻撃者のリモートサーバに送信する。
Windowsのアップデートに模倣したサイトやショッピングサイトの広告、オンラインゲームなど各種Webの
ダウンロードサービスに存在しているケースが多いので注意が必要である。
このマルウェアに感染すると、PC内部のログイン情報、いわゆるID/パスワードが流出する。
例えばショッピングサイトの会員アカウントや、金融機関サービスのログイン情報等があればその情報が
流出することになる。
問題なのは、一般に公開されていないログインURLである。
企業や団体では、関係者のみがアクセスする目的で公開しないログインサイトを構築しているケースが
あるが、そのログイン情報も流出してしまうのである。
つまり、Aさんのログイン情報が流出したとすれば、その流出した情報を利用すればAさんになりすまして
ログインすることが可能になってしまう。Aさんの権限の範囲で内部の情報が自由にできることになる。
もしもAさんがシステム管理者であれば、管理者権限でシステムへのアクセスが自由にできてしまう。
こうなれば、内部の機密情報は全て流出することになる。
不正アクセス被害のニュースを見ていると、パスワードのリスト型攻撃やブルートフォース攻撃を受けて
管理者権限が流出し不正アクセスされた。と言うニュースを時折見かけるが、マルウェアによる流出で
あった可能性は否定できない。
今年、日本栄養士連盟が会員管理システムの管理者URLに対し、なりすまし不正ログインされたと
いう事故があったが、これも事前にマルウェアによって情報が流出していたのかもしれない。
このような情報窃取マルウェアの本当の怖さは、情報を盗まれるだけでなく他のプログラムをダウンロード
して実行させられるという点である。
各所で被害を受けているランサムウェア攻撃も、このような手口でランサムウェアプログラムを送り込まれた
可能性が高い。
もう一つは流出したログイン情報の2次利用による不正利用である。
ログイン情報はなりすましであっても、システム的に見れば正規のログインと判断されるため、不正ログイン
を見分けるのは難しい。もちろんセキュリティ的にも検出することは難しく、大抵は被害が大きくなってから
発覚するという事になる。
このように流出した各種ログイン情報は、サイバー闇市場でも頻繁に売買されている。
中国ブラックマーケットでも毎月何件ものログイン情報の売買に関する書き込みがあり、11月もログイン
情報だけで数千件程の日本のサーバの管理者権限やVPNの接続情報が売買されていた。
以前闇市場にあったログイン情報に、弊社顧客のログイン情報が存在していたことがあり、即時連絡して
サーバのログイン履歴や不正なログを確認すると、怪しいログが確認された。
そこで即時対策を取ったため大きな事故に発展することなく済んだことがあったが、同様な事はどの会社
でもあり得る内容であると感じた。
当然放置すれば、更なる内部情報の流出や改ざん、そしてランサムウェア等のような攻撃を受けることに
なる。
もちろんサーバやネットワーク機器の脆弱性を利用して攻撃をすることもあるが、昨今はマルウェアを利用
した情報窃取から次々と内部に侵入してくるという攻撃手法をよく確認する。
また世界各国のセキュリティ機関等でも中国、北朝鮮、ロシアなどによる情報窃取マルウェアによる攻撃
が頻繁に確認されている。
情報窃取マルウェアを侮ってはいけない。
年初に流行ったEmotetはその後勢いを潜めたが、代わりに流出事故やランサムウェア被害が増加して
今年7月からの下半期では、過去に例のない数の流出情報の売買を闇市場で確認している。
そしてまたEmotetが進化して感染を広めているという情報もある。
12月に入り、間もなく1年で最もサイバー攻撃の多い年末年始を迎える。
昨年も、一昨年も注意喚起をしたが、予想通り、もしくは予想以上の攻撃と情報流出を確認してきた。
過去最高であった昨年の2倍以上の攻撃と情報流出を確認している今年が、去年より攻撃が減るとは
考えられない。
年明けに慌てないためにも、今から対策を準備しておく必要がある。
新しくセキュリティソリューションを導入しなくても、きちんとした点検をすることが重要であり、それによって
被害は最小化できる。
サイバー空間で攻撃者たちのトレンドとなっている攻撃手法や考え方が分かれば、攻撃を回避することも
できるかもしれない。
今からでも十分間に合う、各社サイバーセキュリティ対策として総点検をお奨めしたい。
***************************************************************
<参考URL>
朝日新聞デジタル:2022/11/30
安保、エネルギー分野の学者狙うサイバー攻撃相次ぐ 警察庁注意喚起
https://www.asahi.com/articles/ASQCZ6365QCZUTIL00S.html?iref=pc_ss_date_article
ZDNet
Japan:2022/11/24
「サービスとしてのスティーラー」で5000万件のパスワードが盗まれる
https://japan.zdnet.com/article/35196489/
CyberSecurity.com:2022/11/10
日本栄養士連盟、不正アクセス受け全会員情報流出の可能性
https://cybersecurity-jp.com/news/74720
PRTIMES:2022/11/30
チェック・ポイントの子会社AVANAN、ワールドカップ期間中のサイバーセキュリティ確保に向けた3つの対策を公開
https://prtimes.jp/main/html/rd/p/000000158.000021207.html
Copyright (C) 2014 SouthPlume Co.,Ltd. All Rights Reserved