情報セキュリティの選りすぐりの技術と信頼を届けます

SIPSセキュリティレポート　2023年3月30日号

***************************************************************
　 個のPCが起因する大規模なサイバー攻撃
***************************************************************
日本国内で大きな被害が発生しているサイバー攻撃だが、被害は政府機関や企業だけではなく、個の
PC(個人のPCを含む)に向けた攻撃も増加している。

3月20日、福岡県にある公益財団法人、福岡県暴力追放運動推進センターの職員が使うパソコンが
遠隔操作され個人情報が外部に流出した。
これはPCの操作中、画面に表示された「セキュリティ更新」の案内にあった電話番号に連絡して相手の
指示通りに操作したら突然遠隔操作されたというのである。

リモートデスクトップと呼ばれる遠隔操作により、離れた場所から任意のコンピュータを操作することが可能
となりマシンの所有者の意思とは別に遠隔から全てのコントロールができてしまう。
この福岡県の事案も電話で誘導して遠隔操作用のプログラムを設置されて、遠隔から情報が盗み取ら
れたということになる。いわゆる「サポート詐欺」と呼ばれる手法の一つである。

最近は筆者の会社にも企業などの法人だけでなく個人からの問い合わせも増えているが、昨夜もこの
サポート詐欺に関する内容で知人から連絡があった。
Webを閲覧していたら、突然ビープ音と共に警告画面が表示され、「マルウェアに感染したのでサポート
センターに連絡してください」となっていると言う。

状況を聞いたら、既に電話連絡をしたらしく外国人が電話口に出て、対応するには８万円かかると言わ
れ慌てて電話を切ったらしい。　取り急ぎ、警告画面を終了させる手順を知らせ、アンチウイルスソフトで
フルスキャンしてもらい復旧させたが、知らない人であれば慌てて金額を支払ってしまうこともあるだろう。

料金を請求されれば、怪しいと思うかもしれないが、前述の福岡県の事案のような場合、疑いもせずに
相手の指示通りに操作してしまえば、情報流出が起きても疑問に思わないかもしれない。

また別の人からも相談を受けたが、ある時期からPC、ネットワーク、スマホ、テレビなどの家電が意味不明
の動作を繰り返し、自分が操作していないのに勝手にプログラムが設置され意図しない動作が続いて、
インターネットに関連する全ての機器が利用できなくなっているという。
これも多分、マルウェアの感染から遠隔操作されている可能性が高い。

このように個人のPCでも被害を受ける可能性は高まっていて、被害に遭うと対応に苦慮することになる。
ではこの個のPCがもたらす企業や団体への影響はどのようなものがあるか考えてみると、ニュースなどに
取り上げられる企業などへのサイバー攻撃も、実は個のPCが最初の起点になっていることが殆どである。

個のPCへのサイバー攻撃としては、先ほどの「サポート詐欺」以外ではフィッシング詐欺などによるメール
やWebからのマルウェアダウンロードが主流になっている。
特に“Information Stealer”と呼ばれるログイン情報を窃取するマルウェアを使い、個のPCに存在する
ログイン情報を盗み取っていく手法が要注意である。

皆さんも自分で使用するPC(仕事や個人で使用するPC)を考えてみてほしい。何かをする時にIDとパス
ワードを入力してログインすることは以外に多い事が分かる。自分で入力しなくても、自動的に判別され
てアクセスできる場合もあり、個のPCの中には企業や特定ネットワーク、特定のサイトを利用するための
権限情報が沢山存在している。

例えば“Information Stealer”であれば次のような情報を窃取している。
▼メールアカウント(アドレス帳の情報)
▼その他アカウントログイン権限情報(サーバ、Webサイト、アプリケーション、ネットワーク、等)

メールアカウントは、次のターゲットにマルウェアを拡散する目的で利用され、その他のアカウントは任意の
ログイン権限を不正に利用される事がある。

3月28日、警視庁公安部が家庭用のインターネットルータが複数の企業のサイバー攻撃に「踏み台」
として悪用されていると発表されニュースになったが、これも個のPCからルータへの接続情報が流出して、
それを悪用されている可能性が高い。

しかし、これは家庭用に限られたことではなく、企業のルータやその他機器も同様にログイン情報は流出
していて、そのログイン情報を使えば、該当機器にログインして権限の範囲で利用することが出来てしまう。

企業や医療機関、学校などへのサイバー攻撃のニュースが頻繁に取り上げられているが、これらの殆どが
“Information Stealer”によるログイン情報の流出が起点となり大きなサイバー攻撃が発生している事
が分析されていて、サイバー闇市場にはこれらの個のログイン情報が大量に情報共有・売買されている。

更に個のログイン情報を使い、特定サイト、サーバ、ネットワーク機器へのログイン検証を行った後に、各
機器への接続情報としても売買されていて、サイバー攻撃者はこれを利用して不正ログインして内部に
侵入してくるのである。

このようなログイン情報はサイバー闇市場に存在するが、中国系のハッキンググループは秘匿性のある
SNSのチャネルを利用して、当該チャネルのアクセス権限を保有するメンバーだけでこれらのログイン情報
を共有している。　よく知られるサイバー闇市場の“ダークウェブ”には、これらの情報は少なく、中国系の
ハッキンググループが暗躍しているのは秘匿性の高いサイバー闇市場である“ブラックマーケット”で活動
しているからとも言える。
米国が、中国をサイバー攻撃の「最大の脅威」と発表したのは、こういった理由であるとも言えよう。

SIPSの調査班は、これらブラックマーケットの情報を常時監視し、流出している各種アカウントのログイン
情報も無数に確認し、サイバーセキュリティ対策にも有効に活用している。
ルータの乗っ取り不正利用に関しては、5年ほど前から検証を繰り返し、2019年には各社のルータを
並べて、なりすましされる脆弱性に関する検証と分析を繰り返し行ってきている。

このようなログイン情報が何処のサイバー空間に存在していて、どのように利用されているかを理解して
いなければ、形式的なセキュリティ対策を実施したところで、再度攻撃されて同じ被害を繰り返すことに
なってしまう。

日本に対する脅威情報の多くは、中国の秘匿のSNS【ブラックマーケット】上にあり、誰もがアクセスでき
る場所には存在していない。　川に行って釣り竿をたらし、マグロを狙っても釣れないのと同じである。

このような中、3月21日にロシアのプーチン大統領と中国の習近平国家主席の首脳会談が行われた。
その中には、両国の緊密な協力関係が議論され、サイバー空間やセキュリティに対する内容も含まれた。
「情報ネット空間発展共同推進」「国際情報安全保障分野の協力」などであるが、これにより２国間
の協議内容を正当化されて都合の良い方向に進めてしまう懸念もある。

実際に両国のハッキンググループは既に情報を共有し始め、ロシアのランサムウェアグループが中国製の
ハッキングツールを利用し始めている。両国が協力することでサイバー攻撃は一層高度化され、サイバー
攻撃を現状のセキュリティ対策で防ぐことは一層難しくなる事が想定される。

この数年、日本に対するサイバー攻撃が圧倒的に多い2ヵ国であり、思想の違いから日本が経済制裁
などを行っていることや、北方領土問題、台湾有事、西南諸島問題などから見ても注意が必要な国で
あるだけに、当該2ヵ国からのサイバー攻撃には必要以上の備えが求められる。

また、中国と北朝鮮がサイバー闇市場で協力しているという情報も入手していることから、日本政府が
発表した安全保障上の脅威国である中国、ロシア、北朝鮮は現実的な軍事面だけでなく、サイバー
空間上の脅威にも多大な警戒が必要になる。

中露北の3ヵ国のサイバー攻撃手法は、まだまだ他にもあり、日々日本の情報資産が狙われている。
これに対抗するためには、サイバー空間の脅威情報を間違いのない場所から事前に入手し備えることが
重要となり、牙城を固めるだけの受動的なセキュリティ対策では手遅れになる。

Emotetの感染が再度拡大しているが、世界でランサムウェア攻撃を受けた起因がEmotetの感染から
であるという企業も多数確認されている。
不正プログラムが検出されなくても、情報流出の痕跡がなくても、既に情報は抜き取られ次なる攻撃の
ターゲットにされているかもしれない。
大きな被害を受ける前に、十分な警戒をした方が良い。
***************************************************************
<参考URL>
産経新聞：2023/3/28
家庭用ルーターサイバー攻撃の踏み台に　警視庁確認
https://www.sankei.com/article/20230328-75WZ6GGGANODZI5KZT3WLYSITU/

NHK NEWS WEB：2023/3/23
福岡 NEWS WEB　県暴力追放運動推進センター　詐欺被害で相談の個人情報流出か
https://www3.nhk.or.jp/lnews/fukuoka/20230323/5010019689.html

ZDNET Japan：2023/3/17
ロシアのランサムウェア犯罪グループ、中国製サイバー攻撃ツールを入手・使用--ウィズセキュア調査
https://japan.zdnet.com/article/35201392/

岩手日報：2023/3/13
大学のサイバー被害８９件　過去５年、文科省が警戒
https://www.iwate-np.co.jp/article/kyodo/2023/3/13/1041545