情報セキュリティの選りすぐりの技術と信頼を届けます

SIPSセキュリティレポート　2023年5月2日号

***************************************************************
　 増加するクラウドサービスからの情報流出とその脅威の実態
***************************************************************
クラウドサービスはインターネットを経由したコンピュータ資源を、サービス形式で提供する利用形態で、
これにより場所や時間を選ばず、必要な時に必要なサービスを受けられるようになり業務が効率化され
るようになった。
また提供するサービスにより、SaaS/PaaS/IaaSなどと分類され、配置の形態からはパブリッククラウド/
プライベートクラウド/ハイブリッドクラウドなどに分類される。

このようなクラウドサービスがデジタル社会における利便性を上げていることは間違いないが、一方で情報
セキュリティの面では不安視されることも多かった。
今年最初の当セキュリティレポート(1月11日配信)では、2023年のサイバー攻撃を予測し、今年注意
が必要なサイバー攻撃として、クラウド環境を標的としたサイバー攻撃を挙げている。
クラウドに対するサイバー攻撃は、今年に始まったわけではないが、リモートワークの増加でクラウド環境を
利用したビジネスの形態に変わったことからサイバー攻撃増加を予測したが、やはり間違いではなかった。

昨年から、中央省庁、公共機関、自治体、ECサイト、民間企業が利用するクラウドサービスがサイバー
攻撃を受け、情報流出事故など被害が後を絶たない。
利用者は利用するクラウドサービスがどのようなセキュリティ対策を実施しているのか確認し、万一クラウド
がサイバー攻撃を受けた時に、サービスが停止した時や情報の流出事故が起きた時にどうするか？などを
リスクとして想定した対策を取っておかなければならない。

4月26日サイバー闇市場である“中国ブラックマーケット”で、【RDPサーバ接続情報6万件販売】という
書き込みを確認した。この書き込みには流出情報のサンプルも存在していて、IPアドレス/ID/パスワード
が記載されていた。もちろんこれを使えば当該サーバに接続することが出来てしまう。

RDPとはリモートデスクトッププロトコル(Remote Desktop Protocol)のことで、コンピュータを遠隔で
使用するための技術であり、クラウドサービスでも多く利用されている。
つまり、クラウドサービスを実施しているサーバの管理者権限が奪われ流出しているという事になる。

この流出した6万件の中で日本のIPアドレスは152個存在していて、そのIPを調べるとその上位には、
誰もが知っている有名企業が名を連ねていた。日本の顧客が利用するサービスは海外のクラウドも利用
しているので、この152個のIPアドレスだけが対象ではなく、相当な数のクラウドサービス利用者が、既に
利用しているクラウドサーバの管理者権限を奪われ、そのサーバ経由で内部の情報は自由にされてしまう
という事になる。

しかも、この書き込みには販売だけでなくハッキンググループが利用するハッカーフォーラムでの情報共有が
されるようになっていた。該当するIPのクラウドサービスを利用すれば、間違いなく情報は抜き取られること
になり、どのような攻撃者が利用するかによって、改ざん、システム停止、ランサムウェアなど様々な攻撃
が可能になる。

そして一番危険なのは、このような情報が流出していることを、対象IPアドレスのサービスを提供している
企業も利用者も『サーバ接続権限流出の事実を知らない』という事である。
各社のクラウドサービスのセキュリティ事情を確認すると、どこも『安全な対策を実施済』とあるが、既に
サーバの権限が流出していれば、正規のアカウントを利用してなりすましログインされてしまうので、対策
を実施していても侵入を見つけ出すことは出来ない。

高度なセキュリティ対策に溺れ安全であると錯覚している、正にこれが日本のセキュリティ事情であろう。
間もなく開催される“G7主要国首脳会議”に影響を与えることすら容易に実施することが可能で、連休
明けから夏にかけて、次々と日本の情報は流出し被害を出すことが予測される。

4月に確認された同様の脅威情報は他にもある。
4月3日海外ブラックマーケットでは「SQLインジェクション攻撃により入手した情報の売買」といった書き
込みが確認されている。
これによると約1万7千件のSQLサーバが攻撃をされていて、ハッキングしたURLが表示されていた。
当該データベースに対しての侵入はもちろん、内部情報へのアクセスも可能という事になる。
この中には、政府機関、公共機関、大学、民間企業などのサイトが存在していて、当該サイトは既に
情報を窃取され、2次被害が発生する可能性が極めて高い。

4月4日は「WordPressのAdmin権限の販売」という書き込みが中国ブラックマーケットで発生。
その数は約9000件で、ここにもURL/ID/passwordが記載されていた。
こちらも同様に様々なサイトが存在していて、権限を不正に利用されると、Webの改ざん、情報滅失
情報流出、Webサーバの不正利用などの被害が発生する事になる。

そして4月14日には「ログインサイトのアカウント情報の販売」という書き込みが中国ブラックマーケットで
発生し、その数は1千万件を超える量があり、同様にURL/ID/passwordのサンプルが存在した。
これは、多分マルウェアによるものと考えられるが、この大量のログイン情報の中には、上位権限者の
ログイン情報も間違いなく含まれていて、これから更なる攻撃が発生する事になる。
しかも、「日本の大学」「日本の公共機関」「日本の企業」といった分類がされていて、大学に関して
言えば日本の主要大学の各種ログイン情報が確認された。
特に内部関係者のみのログイン情報の場合は要注意という事になる。

これらの情報は、既にハッキングされてサーバを乗っ取られているのと同じであり、適切な対応・対策を
取らない限り、被害は更に拡大することになる。
当該脅威情報を確認した弊社顧客には既に対応方法を通知したので、対策さえ間違えなければ
最小限の被害で終わることになるが、それ以外の政府機関、公共機関、大学、企業等に関して
言えば、残念ながら次の大きな被害を発生させるターゲットになってしまっているという事になる。

以前にこれらの脅威に対する対策をすることで、分析内容から対策を適用すれば9割以上の割合で
被害を防ぐことが出来ると提案した企業があったが、「自社で対応します」として受け入れてもらえず、
結果被害額が30億円を超えることになった。

このようなサイバー闇市場の情報は【流出情報】だけでなく、どのような技術を使って攻撃するのか、
その後に何を実行しようとしているか確認出来るため、結果として被害を最小化することができる。

SIPSの調査領域は、日本政府が脅威対象国としている中国、ロシア、北朝鮮を中心に行っていて
しかも最近主流になってきているSNSやメッセージングアプリを駆使したチャネルであり、他の類似の
インテリジェンスとは一線を画している。
そしてこのような情報は氷山の一角でしかなく、同様の脅威情報は無数に存在している。

具体的な内容は契約社以外に提供できないが、可能な範囲で発生している脅威情報の概要を
ホームページ上に掲載しているので参考にしてほしい。

個人情報だけではなく、政府機関・公共機関の機密情報、企業の機密情報、研究機関や大学の
極秘情報、金融機関の機密情報、そして各種サーバの権限情報と日本の情報は全て流出している
といっても大袈裟ではない。政府が言う通り、特に中国、ロシア、北朝鮮は要注意である。

このような状況でビジネスをし、生活をしていても、次から次と情報も、金銭資金も抜き取られていく。
そして、これがクラウドサービスの脅威であり、サイバー空間の脅威そのものである。
デジタル化、DXが悪いのではない、もはや情報セキュリティ対策だけでは守れない。情報セキュリティ
対策と同時に、サイバー空間からの攻撃を考えたサイバーセキュリティ対策を取らなければ日本の将来
はない。
***************************************************************
<参考URL>
日本経済新聞：2023/04/13
政府サイバー組織、被害収集ままならず　霞が関で影薄く
https://www.nikkei.com/article/DGXZQOUC0389F0T00C23A4000000/

 日経クロステック：2023/04/14
全国約90の自治体議会Webシステムが停止、事業者サーバーが不正アクセス被害
https://xtech.nikkei.com/atcl/nxt/news/18/14994/

ScanNetSecurity：2023/04/27
統計数理研究所のサーバにSQLインジェクション攻撃、メールアドレス5,527件漏えい可能性
https://scan.netsecurity.ne.jp/article/2023/04/27/49276.html

マイナビニュース：2023/04/12
感染サイトは100万超、WordPressマルウェアキャンペーン「Balada Injector」の防御策は？
https://news.mynavi.jp/techplus/article/20230412-2650848/