SouthPlume                                               情報セキュリティの選りすぐりの技術と信頼を届けます

                                   

SIPSセキュリティレポート 2023年4月18

***************************************************************
  システム障害とサイバー攻撃
***************************************************************
この数か月システム障害によるサービス停止というニュースが度々確認されている。
4月13日のニュースでは、全国90以上の地方議会の情報システムがサイバー攻撃を受け、インター
ネット議会中継や議事録検索などのサービスを停止したというニュースがネット上で話題になっている。

この全国90以上の地方議会の情報システムは、そのシステムを運営する会社のサーバが攻撃されて
利用している多くの自治体がその被害を受けた事になる。
今回のサイバー攻撃はクラウドサーバにサイバー攻撃があったという事だが、昨今主流になってきている
インターネットを利用したクラウドサービスの一番の課題とも言えよう。

クラウドサービスは便利ではあるが、運営しているサーバが停止してしまえばサービスは提供できない。
今回の運営会社も二重化構成で、突発的な閲覧障害に対応していたというが、結果停止することに
なってしまった。
運営会社は、サーバへの侵入・改ざんが目的とみられるID・パスワードを総当たりでアタックするサイバー
攻撃を受け、一部のサーバへ侵入の形跡が発見されたとしている。
これはどの企業でも起こりうる内容で、システム上いくら対策を取ったところで侵入されることを防ぐことは
難しい。

理由は、そのサーバにログインしてアクセスする任意の第三者からログイン情報が流出しているため、その
ログイン情報を使い、なりすましログインすれば、その人の権限範囲内でアクセスが出来てしまうからである。
サーバにアクセスする任意の第三者を特定し、個々に対策を取ることはサーバ運営会社にとっては極めて
困難な内容で一般的には不正侵入・ハッキングの痕跡が確認されたとしても何故ログインがされたかは
原因究明できていない。

これらは、当レポートで何度も記載している情報窃取マルウェア(Information Stealer)である。
任意のPCに送り込まれるこのマルウェアは、そのPC内部のログイン情報を盗み取り、外部に流出させる。
流出したログイン情報を利用して、なりすましログインで特定サイトに侵入し、内部から次の仕掛けをする
ことで最上位の権限を奪い、結果情報流出やWeb改ざん、システム停止、ランサムウェアによる暗号化
などが行われている。

昨今システム障害を起こしたのは、前述の自治体向けサービスだけではない。
今年に入りNTT東日本、NTT西日本、NTTドコモ、KDDI、JR東日本、JR西日本、全日空、日本航空、
ソフトバンク、三井住友銀行、楽天市場などがシステム障害のニュースになっている。
昨年まで度々システム障害を発生させたみずほ銀行は昨年金融庁から業務改善命令が下された。

これらのシステム障害は「アプリケーションのエラー」「ネットワーク機器の不具合」「データベースに負荷」と
言った報告がされて終了しているケースが多いが、ではその負荷や不具合は何故起こったのか?
冒頭の自治体のシステム障害は、サイバー攻撃によるサーバの不具合が原因であって、詳細は明確に
なっていないが、マルウェアの侵入によりログイン情報が流出し内部に侵入された可能性もある。
仮にこのような悪性のマルウェアがシステム内に侵入してきたら、そのシステムは正常に動作するのだろうか?

一般的にシステム内のプログラムは複数の様々なプログラムで構成されて動作する。
本来連動するはずのプログラムが、別のマルウェアと連動して動き正常な動作をしなかったとすれば、その
時点で障害発生となる可能性が高い。
昨年来ニュースに取り上げられているシステム障害のニュース全てが、マルウェアによるものとは言わないが
関係している可能性は極めて高い。

北朝鮮で国家支援されているハッキンググループに“Lazarusu”ハッキンググループがある。
世界の国のビットコイン取引所をハッキングして暗号資産を不正に流出させて巨額の現金資産を得ている
というニュースも度々報じられている。

このLazarusハッキンググループは、セキュリティ検知に対して事前に詳細を確認し確実に回避して侵入
してくる。最近ではVHDのファイル(仮想ディスクイメージ)を使った攻撃をしていることがわかり、被害者に
罠となる“おとり文書”を開かせて攻撃している事が分析の結果明らかになった。
この文書サンプルを分析してみると、金融機関の採用文書であり、日本の複数の都市銀行の名前の
文書が現れたのである。

被害者はマルウェアに感染しログイン情報を抜き取られる。
更に罠となる金融機関の文書を見たことで、金融機関に感染したPCでコンタクトするため、金融機関の
PCにも感染している可能性が高い。
一度感染してしまえば拡散しネットワーク、システム内に増殖してしまう。
金融機関のシステムを検証したわけではないので、憶測にはなるがマルウェアのシステム内侵入により
システムが正常動作せず、結果としてシステム障害を発生させた可能性も考えられる。

Lazarusハッキンググループは金銭目的で攻撃を行い、それも巨額な資金集めを目的としているので、
金融機関の情報を抜き取るために、あの手この手を繰り出し、金融機関に侵入して現金資金を強奪
するために攻撃を繰り出している。
今回の攻撃サンプルである、金融機関の名前のおとり文書が送り込まれていた時期を見ると、都市銀行
でシステム障害を繰り返し発生させていた時期と同時期で、タイミング的にも怪しいと思われる。

先日、日本クレジットカード協会より発表された2022年1年間のクレジットカード被害額は436.7億円
という想像を絶する金額が報告された。
しかしクレジットカードだけではない。銀行口座や証券口座、暗号資産口座も狙われていて、サイバー
闇市場での流出情報の売買は後を絶たない。

中国ブラックマーケットでは、金融機関のハッキングによる情報の売買や、各種手続きを進める時に利用
する画像データも流出していて、これらの情報から個々の口座情報がリスト化されて不正利用されている
と考えられる。
「日本のインターネットバンキングの口座/パスワードの販売」などといった書き込みは頻繁にあり、更には
「日本のインターネットバンキング口座のマネーロンダリング」などといった不正出金させるときに流出経路を
不明にさせる資金洗浄の方法まで売買されていて流出資金の流れを追跡することさえ難しくなっている。

金融機関に関する流出情報の売買に関する書き込みは年々増加し、2年前から比較すると4倍から
5倍程増加している。
フィッシングによる情報流出も多数あるのも事実だが、それ以上にハッキングやマルウェアを使った情報流出
が多い事が数字を見れば分かる。

特に4月に入ってからは、マルウェアによる流出と考えられるログイン情報(ID/パスワード)の流出に加え
SQLインジェクションでハッキングされたサイト管理者情報、WordPressの管理者アカウント情報など
日本のサイトの権限情報の流出数が1000件以上確認された。

金融機関だけではない、政府系機関や公共機関、学校、民間企業など軒並みやられていて、これらの
情報を利用すれば好きなように遠隔操作されてしまう。
大学などはサイトの権限ハッキングだけでなく、内部データベースへのアクセスアカウント情報までが流出
していて重要情報の流出やランサムウェア被害の危機的な状況にある。

あとは、この情報を掴んだハッキング集団の目的が、内部情報を奪うために攻撃するのか?
システムを暗号化して金銭を要求するのか、その目的によって被害が変わるという事になる。

いずれにせよ、これだけ大量の権限情報が流出している以上、いつどこで問題が発生しても不思議では
ない。そこでSIPSでは、ハッカーがシステムに侵入して権限を獲得した後、権限維持のために活用する、
バックドア技術に注目した。バックドアは、通常の認証手続きを行わず、コンピュータと暗号システムにアク
セス可能にする「裏口」であるが、ハッカーが侵入したシステムにバックドアを構築する方法は非常に多く
の方法がある。そこで最近一般的に使用される6つのバックドア技術について調査と分析を行った。

このような内容を有効に利用して、サイバーセキュリティ対策を考えることは、攻撃の被害を最小化する
ことになると考えられる。

既存の情報セキュリティ対策では境地に達してきた現在では、どこから攻撃が発生しているのか?
どのような手法を取って攻撃してくるのか?など先を考えるサイバーセキュリティ対策が重要になる。

システム障害が発生したら、アプリケーションやシステム機器の設定だけでなく、サイバー攻撃の可能性に
関しても十分検証する必要がある。
***************************************************************
<参考URL>
産経新聞:2023/04/13
地方議会にシステム障害 90以上、サイバー攻撃で
https://www.sankei.com/article/20230413-CFJZJIX4ABNBFIDB3OMSE7W4TE/

日経XTECH:2023/03/29
みずほ銀行に足りなかった「顧客目線」、大規模システム障害での情報開示に学ぶ
https://xtech.nikkei.com/atcl/nxt/column/18/02409/032600004/

ITmedia NEWS:2023/03/27
「三井住友銀行アプリ」がダウン 「SMBCダイレクト」もつながりにくい状態に【復旧済み】
https://www.itmedia.co.jp/news/articles/2303/27/news111.html

FNNプライムオンライン:2023/04/07
原因は予期せぬエラー ANAシステム障害
https://nordot.app/1017021609835610112?c=768367547562557440

                                  Home     製品情報     サービス     会社情報     お問い合せ

Copyright (C) 2014 SouthPlume Co.,Ltd. All Rights Reserved