情報セキュリティの選りすぐりの技術と信頼を届けます

SIPSセキュリティレポート　2023年2月22日号

***************************************************************
　 サイバー攻撃予告が発生中！・・・今取るべき対応は？
***************************************************************
サイバー攻撃とは・・・？何らかの集団によって歴史的・社会的・政治的・経済的な目的に基づき発生
するコンピューター・システムへの不正なアクセス行為を指し、それによって情報の窃盗、流出、改ざん、
無効化、破棄などの被害を発生させる行為のことを言う。

一方で悪意のハッカー集団や、国家により組織されたサイバー軍および情報機関により、敵対する国家、
企業、集団、個人等を攻撃する行為を【サイバー戦争】とも呼び、攻撃の目的が軍事・行政や民間の
経済・インフラストラクチャーにおける情報システムの機能停止や不正操作、情報窃取などを行う行為、
これらが結果としてサイバー犯罪とも関わってくることになる。
昨今の状況からすると、正にサイバー戦争と言っても過言ではない。

サイバー攻撃にも様々な種類があり、ハッキングによりシステム等への不正侵入によって改ざんや情報
窃取、DDoS攻撃によるシステム停止、マルウェアによる情報窃取やPC・サーバのゾンビ化、フィッシング
による情報搾取などがあるが、大抵の場合は予告もなく突然攻撃される事がほとんどである。

では、【サイバー攻撃予告】とはどんなものか？何故予告をするのか？
攻撃予告をする場合を見てみると、ほとんどが歴史的・社会的・政治的・経済的な反感を持つハッカー
集団が攻撃を行い、直接的な金銭目的ではない場合が多く見られる。
場合によっては、国家支援の組織やサイバー軍などが行っている場合もある。

予告をすることで、相手は警戒し攻撃が実行しにくくなるように思えるが、予告するグループのほとんどは
世界的にも有名なハッキンググループである事が多く、攻撃を行うハッキング技術は格段に高く、一般的
な企業や組織のセキュリティ対策など全く相手にされない。

このような高度な技術を保有するハッキンググループが、社会的・政治的な主張を目的としたハッキング
活動を行う際にサイバー攻撃を予告する事がよく見られる。
とは言っても、テレビや新聞、一般的なインターネット上で「明日攻撃します」と公表することはしない。
犯罪の温床となるサイバー空間の闇市場「ダークウェブ」や「ブラックマーケット」の特定のチャネルの中で
公表されることがほとんどである。

最近では、昨年９月に日本政府に対するサイバー攻撃を予告し攻撃した“Killnet”が記憶に新しい。
日本政府機関や企業、団体に向けてDDoS攻撃を実行し、それぞれのサイトが一時的に接続できなく
なった。

DDoS攻撃の場合、狙われたサイトがアクセス過剰によるシステムエラーで接続できなくなるという現象
であり、システムにアクセス出来ない間はビジネスが停止し、信用も損なう事になる。
攻撃(過剰な通信)が終了すれば、そのサイトへの接続は復旧するが、物理的な機器やソフトウェアの
傷害などが発生しないとは限らない。
最近では、DDoS攻撃中に別ルートから侵入し、内部情報を窃取、改ざん、削除するといった複合型
の攻撃をする場合もあるので注意しなければならない。

そんな中、2月13日月曜日にロシアのハッキンググループから日本の証券会社にDDoS攻撃が発生し
それと同時に犯行声明が出された。犯行声明には「ロシアが受けた経済制裁などによる影響で、復旧
にかかる1億7000万ドルを日本に割り当てる」と書かれてあった。
その後、日本政府及び国内企業の十数件のサイトを連日攻撃している。
攻撃された企業、団体は日本政府が後押しする重要インフラ企業と思えるところばかりである。

SIPSでは、13日の攻撃直後から当該ハッキンググループの闇チャネルをモニタリングして動向を確認して
きたが、まだ終わる気配はない。
すると同じロシア系ハッキンググループ“Killnet”が賛同し、日本への攻撃に加わった。
複数のハッキンググループから攻撃を受けたサイトはひとたまりもなく、接続エラーが発生し、「ホームページ
の一部がつながりにくい状況が発生」とアナウンスされている。
何日も経過しているのに、未だに復旧できていないのである。

更にそのDDoS攻撃を受けている企業の情報売買の書き込みまで発生してきている。
関連性と情報の真偽は分からないが、もしかしたらサイトを停止させられただけでなく、情報まで窃取され
ているのかもしれない。
ターゲットとなった企業はもちろん、それ以外の企業もいつ攻撃を受けるかも分からない。
正に【サイバー戦争】の様相を呈する形となってきている。

それだけでは終わらない、2月1日中国のハッキンググループからサイバー攻撃予告が公表された。
「2月に日本と韓国に対してサイバー攻撃を行う」という内容の告知である。
このハッキンググループは、1月にも韓国政府機関と学術機関サイトに対してハッキングを行い、12サイト
がハッキングされた。この後のハッキング対象URLとして2000余りの政府機関とマスコミ30社を攻撃対象
として攻撃している。韓国でも次々とハッキングされ情報が窃取、削除、改ざんされる被害が続出している。

予告通りであれば、間もなく日本への攻撃も始まる頃である。
SIPSでは約1ヶ月動向をモニタリングして当該中国ハッキンググループの攻撃動向を分析した。
その結果、当該ハッキンググループはシステムやアプリケーションの脆弱性を利用して内部に侵入している
ことが分り、侵入すると事前にバックドアや悪性マルウェアなどを設置して各種サーバのログイン権限を奪い、
ハッキング予告期日になるとなりすましログインにより侵入して攻撃を実行するのである。

利用される脆弱性は、Apache Tomcat の脆弱性 (CVE-2020-1938) を始めとする合計約40個で
あることが判明し、エクスプロイトリストが完成した。
Apache Tomcat の脆弱性 (CVE-2020-1938) は、Webアプリケーションで、遠隔の第三者が任意
のコードを実行する可能性が存在するというもの。
このような脆弱性は日々多数報告されていて、ベンダーから提供されたセキュリティパッチが適用されていれ
ば問題ないが、適用されていないと脆弱性を利用されてしまう。
これらの脆弱性を全て塞いでおけば、被害は最小化されるということになる。

但し、当該ハッキンググループは、事前に侵入して管理者権限を奪っている可能性があり、攻撃が発生
してからパッチを当てても既に侵入されている可能性もある。
またエクスプロイトリストを提供した顧客が、全てをチェックして該当するシステムのセキュリティパッチを適用
したか否かによっても状況は変わってくる。
このような手間を惜しまず、セキュリティ対策するというのが、本来あるべきセキュリティ対策の姿であるが、
残念ながら日本はこれすら出来ないところが多いというのが現状である。

現在中国ブラックマーケットでは、ハッキングツールとして「システム内の脆弱性を抽出するツール」も販売
されているため、このようなツールを利用すればシステムの脆弱性の存在有無を瞬時に確認できる。
脆弱性の存在が分かれば、後はそれを利用して侵入するだけという事である。

サイバー脅威インテリジェンス情報は、事前の予兆、傾向、動向を分析し被害を最小化する事が出来る
が、それを有効活用できなければ意味がないので、是非有効に活用してほしい。

先週2月15日水曜日に、厚生労働省が「医療機関におけるサイバーセキュリティ対策セミナー」を開催
し、約2000人が参加した。
厚生労働省や警視庁、セキュリティ機関、セキュリティベンダーなどが対策に関して講演したが、受講者
から質問が山積した。

その中で多かったのは、「ベンダー任せのシステムでどうなっているか分からない」「ベンダーに質問しても
明確な回答がもらえない」「ベンダーを変えると今のシステムが動かなくなる」などであった。
中には「政府からセキュリティベンダーに指導してほしい」といった意見もあり、情報セキュリティに従事する
人間としては心が痛かった。

確かに、DX化で自社の製品がスムーズに動くことを優先する、もしくは売上重視の考え方でシステムを
導入していればセキュリティ機能や設定など後回しだろう。
医療機関への攻撃が続き、このセミナー参加者も予想を超える人数が参加したが、システム構築をした
ベンダーへの不満が爆発したかのような意見ばかりだった。

そんな中、17日群馬県前橋市教育委員会が2018に発生した個人情報流出事故に対してシステム
を委託したNTT東日本に対して訴訟を起こし、前橋地裁は「委託契約においてファイアウォールを適切
に設定して通信制限を行う債務を負っていた」としてNTT東日本に1億4200万円の支払いを命じる
判決が出た。

この判決に対する妥当性は別として、委託業者と顧客がきちんと管理できていなかったのは事実で流出
事故が発生したことには変わりない。
しかし顧客と委託業者が、どのような契約内容になっているかによって、委託業者は事故が起きるとその
責任を負うという判例が出来てしまった。

さて前述したサイバー攻撃予告では、脆弱性を利用した侵入が想定されている。
システム構築の委託業者がその脆弱性対策をしっかり対策しているか否かにより攻撃被害が発生するか
否かが決まってくるとしたら、事故が起きればその責を負うのは業者側になるかもしれない。

どちらにせよ、サイバー戦争の中にいて、高度な攻撃者から情報を守り抜くのは、かなり困難な時代に
突入しているとすれば、攻撃者の動向や脅威情報を事前に入手して最善策を立て、そのログを確保する
事は顧客も業者も最重要課題となるはずである。

ロシア、中国とサイバー攻撃予告があり、緊急事態であるという事を当レポートの読者は理解してほしい。
ロシアのハッカー集団、中国のハッカー集団だけではない。
今月は日本の宝と言える企業の人気製品の開発ソースコードがハッキングで窃取され販売されていた。

これだけ日々攻撃され被害が発生していても、日本ではニュースにもならない。企業も公表しない。
何度被害に遭おうと、被害が拡大しようが、一向にお構いなしの日本の体制。
これを改善しない限り日本に光はない。
顧客も、システムベンダーもセキュリティベンダーも真剣に考える必要がある。
***************************************************************
<参考URL>
REUTERS：2023/01/26
親ロ・ハッカー集団、ドイツを攻撃　顕著な被害なし＝独当局
https://jp.reuters.com/article/germany-cybersecurity-idJPKBN2U41HU

PRTIMES：2023/02/21
2022年第4四半期、日本が北米に次ぎ多くのサイバー攻撃の標的になったことが判明
https://prtimes.jp/main/html/rd/p/000000031.000060255.html

NHK NEWS WEB 群馬 NEWS WEB：2023/02/17
“学校の個人情報流出”ＮＴＴ東日本に賠償命じる 前橋地裁
https://www3.nhk.or.jp/lnews/maebashi/20230217/1060013886.html

ABEMA TIMES：2023/02/16
全国の病院で相次ぐサイバー攻撃被害 厚労省が医療機関向けにセキュリティ対策研修実施
「自主的な取り組みだけでは不十分」
https://times.abema.tv/articles/-/10067769