ChechPointによると、ボットネット”Reaper”の作成者が、中国人系のクラッカー集団である可能性が高い事を公表した。

CheckPointは、Reaperを最初に特定したイスラエル系のセキュリティ企業である。

「中国人系のクラッカー集団である可能性が高い」とされる根拠については、様々な要因からそのように判断したようだ。

その中でも大きな要因としては、ReaperがLuaという環境で作成された事であるという。

Luaとは、軽量で埋め込み可能なプログラミング言語の事である。

CheckPointのリサーチグループのYaniv Balmas氏は、Luaについてこう語る。

Luaがマルウェアに使われた事は見たことがない。Luaはアジャイル開発が可能で色んな環境に適応できるプログラミング言語だ。

Luaがアジャイル開発が可能で、尚且つ汎用性が高いという事は、攻撃者がサイバー攻撃手法をすぐに切り替える事が出来る事を意味します。

例えば、DDoS攻撃を仕掛けた後に、同じボットネットを使って、暗号通貨のマイニングをするスクリプトとして動作させる事ができるようになるという事です。

Balmas氏は、更にReaperを作成したグループが中国政府と関連のあるクラッカー集団と繋がりがある事を示唆している。

攻撃者がマルウェア内で使われているドメインを登録した際に使用したメールアドレスは、以前”Black Vine”というクラッカー集団によって使用された事がある。

勿論、ドメイン登録に使用されたメールアドレスが、メールアドレス転売者によって転売された可能性もあるので、Reaper作成者がBlack Vineである事は断定できない。

だが、Balmas氏は今後の調査に有益な情報である事は確かなのでリサーチを継続していくようだ。

お疲れ様です。いちです。

本日は以下のセキュリティニュースのダイジェストをお送りします。

• エクスプロイトキットを使って拡散するMatrixランサムウェア
• Apacheが４つの脆弱性をパッチ
• APNICからWHOIS情報が漏洩するインシデント

それでは早速、参りましょう！

エクスプロイトキットを使って拡散するMatrixランサムウェア

Malwarebytesのセキュリティ研究者であるJérôme Segura氏が、MatrixランサムウェアがRIGエクスプロイトキットを使って拡散している事を発見した。

Matrixランサムウェアは2016年終盤にリリースされた直後に拡散されて以来、感染確認数は減少の一途を」とどっていた。

Matrixランサムウェアは、マルヴァタイジング(悪意のある広告)を掲載するウェブサイトを通して拡散される。

エクスプロイトする脆弱性は、以下の2つ。

Matrixが突く脆弱性

• CVE-2016-0189・・・IEの脆弱性
• CVE-2015-8651・・・Adobe Flashの脆弱性

Matrixランサムウェアに感染するためには、サイト訪問者が脆弱性パッチを当てていない端末でマルヴァタイジング広告を掲載するサイトを方慰問する必要がある。

Matrixランサムウェアに感染すると、端末内のファイルを全て暗号化し、全てのファイルの拡張子を".pyongyan001@yahoo.com"に変更してしまうという。

更に、Matrixランサムウェアは身代金請求を促す文章を、#_#WhatWrongWithMyFiles#_#.rtfというファイルに作成し、ロックされた画面に表示するようだ。

Apacheが４つの脆弱性をパッチ

The Apache Software Foundationが、OpenOfficeに関連する4つの脆弱性を、10月27日にパッチした。

パッチされた脆弱性は以下の4つ。

パッチされた4つの脆弱性

• CVE-2017-9806
• CVE-2017-12607
• CVE-2017-12608
• CVE-2017-3157

CVE-2017-9806

CVE-2017-9806は、アウトバウンド通信に関する脆弱性である。

攻撃者は、CVE-2017-9806をエクスプロイトして、悪意のあるコードを埋め込んだフォントを作成し、ターゲット端末に対して遠隔からコマンドを実行することが出来る。

CVE-2017-12607

CVE-2017-12607は、OpenOfficeで.PPTファイルを作れるDrawアプリケーションに関する脆弱性である。

上記の脆弱性(CVE-2017-9806)同様、アウトバウンド通信に関わる脆弱性であり、攻撃者は、CVE-2017-12607をエクスプロイトして、ターゲット端末に対して遠隔からコマンドを実行することが出来る。

CVE-2017-12608

CVE-2017-12608は、OpenOfficeでドキュメント作成をする際に使う機能である‘WW8RStyle::ImportOldFormatStyles’に関する脆弱性である。

上記の脆弱性(CVE-2017-9806)と(CVE-2017-12607)同様、アウトバウンド通信に関わる脆弱性であり、攻撃者は、攻撃者によって細工された.docファイルを用意して、ターゲット端末に対して遠隔からコマンドを実行することが出来る。

CVE-2017-3157

CVE-2017-3157は、OpenOfficeのワードプロセッサに関する脆弱性である。

OpenOfficeで作成された文書内に画像を埋め込むと、参照元である画像から、その画像を埋め込んだドキュメント作成者のOpenOfficeのバージョンなどの情報を引き出す事が出来る。

APNICからWHOIS情報が漏洩するインシデント

世界に3つある地域レジストリとしてIPアドレスの割当て、管理業務を行うAPNIC(Asia Pacific Network Information Centre)でWHOISの詳細情報が漏洩するインシデントが発生した。

インシデントが発生した事を公表したのは、eBayのRed Teamに所属するChris Barcellos氏だ。

10月12日に、Barcellos氏は、APACの地域レジストリが第三者のウェブサイトにダウンロード可能なデータとして掲載されていた事を発見した。

掲載されいたデータには、MaintainerとIRTオブジェクトへのパスワードが含まれていた。

Maintainerとは、誰がドメインレコードに変更できるかを司る情報である。

また、IRTオブジェクトとは、ネットワークへの不正アクセス等のログレポートを受け取る管理者の連絡先情報を含むデータを意味する。

先に述べた、漏洩したパスワードはハッシュ値で遭ったのだが、クラッカー達はハッシュ値から元のパスワードを復号できた可能性があると研究者は指摘している。

もしそうならば、WHOISデータが損なわれ、改ざんの被害に遭っているかもしれない。

APNICは引き続き調査を行い、被害状況を確認していくという。

こんにちは。いちです。

本日は以下のセキュリティニュースのダイジェストをお送りします。

• Ursnifによるサイバー攻撃が日本を襲う
• ”Keranger”ーMac用ランサムウェアが拡散
• jQuery公式ブログが不正アクセス被害

それでは早速、参りましょう！

Ursnifによるサイバー攻撃が日本を襲う

Ursnifが開発したバンキングトロイによる金融セクターに対する攻撃が、2016年から今まで多発している。

主なターゲットは、北米、ヨーロッパ、オーストラリア等の英語圏だが、2017年に入ってからは日本に対する攻撃件数が増加していると報告されている。

Ursnifの狙いとは

日本企業で主な標的とされているのは、銀行と、ペイメントカード関連業者であった。

しかし最近になっては個人のウェブメールアカウントや、クラウドストレージ、暗号通貨取引所など、攻撃対象が広がっているようだ。

Ursnifの拡散方法は、標的型メールだ。

これは、Ursnifによる攻撃が始まった当初から変化しておらず、正式な細工されたコードを含む添付ファイルを送りつけてターゲット端末にマルウェアをダウンロードさせる。

また、UrsnifからはHTMLリンクを記載したメールが送られて来ることもある。

このリンクは、JavaScriptが中に入っている”.zip”形式のアーカイブファイルであり、ファイルをダウンロードして解凍するとPowerShellが起動し、細工されたコードを実行する。

PowerShellが実行するコードは、遠隔のサーバーからペイロードをダウンロードし起動する。

この時に接続する遠隔サーバーは、第三者のドメインをハイジャックしたものではなく、攻撃者自ら用意したサーバーが使われているようだ。

過去記事でも紹介したが、Ursnifはマクロを使わずに、ユーザーがファイルを閉じるとPowerShellスクリプトを実行する攻撃手法を用いている。

IBM X-Forceによれば、Eメール送信数は火曜の夕方にピークに達し、実際に感染を試みるのが木曜と金曜。週末や週初めには比較的Ursnifによる活動が少ないと報告されている。

何故日本なのか

殆どの場合、サイバー攻撃を仕掛けるクラッカー達はローリスクでお金を手に入れられる機会を狙っている。その事から、セキュリティレベルも低く、ユーザーのセキュリティに関する知識も少ない地域がターゲットになりやすい。

そういった意味では日本は、他国と比較すると組織的なサイバー犯罪による被害を受けた経験が浅いと言える。

その事から、日本に対するサイバー攻撃が増加の一途を辿っているのだろう。

”Keranger”ーMac用ランサムウェアが拡散

2016年”Keranger”というMac用のランサムウェアが拡散した。

Kerangerは、Windows対象のランサムウェア同様、端末内のデータを暗号化して身代金を請求する。

暗号化されるデータには、Time Machineというバックアップソフトウェアでバックアップしていたデータも含まれる。

Macユーザーならわかると思うが、App Store以外でインストールされたソフトウェアはユーザーの許可がないと起動する事ができない設定になっている。

起動の許可を求められた際には端末の安全を考えて起動しないのが賢明な判断と言えるが、必ずしも全ユーザーが起動しないとは限らない。

ましてや、App Storeからインストールされたものでなくても、公式サイトからダウンロードされたソフトウェアなら起動しようと思うのが普通ではないだろうか。

実はKerangerを作成した攻撃者は、TransmittionというTorrentアプリを配布する公式サイトに侵入し、本物の.dmgファイルへのリンクを書き換え、Kerangerをバンドルする.dmgファイルに差し替えてしまった。

そのことに気付かず、ユーザーはKerangerを安全なアプリと思い込んでインストールしてしまうのだろう。

また、Macにデフォルト搭載されているMacGatekeeperというスキャンソフトの目を盗むために、Kerangerの作成者は、正式なApple開発者を示す証明書を使ってKerangerにサインをしているようだ。

Windowsに比べてMacのシェアが低いことから、主流となっているランサムウェアはまだWindows向けが多い。

しかし、Mac向けのランサムウェアを開発するRaaS(ランサムウェア・アズ・ア・サービス)も成長してきている。

今回紹介したKerangerもその一つで、ソースコードは全て公開されており、作成者にロイヤルティとして回収した身代金の30%を支払えば自由に使えるようになっていたようだ。

jQuery公式ブログが不正アクセス被害

本日、jQueryの公式ブログが”str0ng”と"n3tr1x"と名乗る者によって不正アクセスの被害に遭ったと報告された。

jQueryとは、JavaScriptのライブラリとして有名で、今や至る所のウェブサイトで使用される程のライブラリである。

今回被害に遭ったブログ(blog.jquery.com)は、WordPressで作られたブログだった。

不正アクセスの内容は、上記した2人が、jQuery開発チームの主要メンバーであるLeah Silber氏の名前を使用して、”このブログはハックした！”等と書き込んだ事だ。

既に投稿自体は管理者によって削除されているのだが、The Hacker Newsがスクリーンショットを掲載しているので、気になる方はこちらから参照頂きたい。

尚、jQueryのコードファイルを保存しているサーバー(blog.jquery.com)に対して被害が遭った形跡は無いようだ。

今回の不正アクセスが起きた原因は、Silber氏がパスワードを使いまわしていた事だと言われている。

なぜならjQueryのメイン・ドメイン(jQuery.com)はこれまでに数回クラッキングされた事があるからだ。

今回の不正アクセスは、その時に流出した認証情報を使って行われたとみている。

ランサムウェア"BadRabbitを使ったサイバー攻撃がロシアや他の国々を襲った。

今週火曜日(2017/10/24)の出来事だ。

そこでこの記事では、BadRabbitに関して分かっている情報を、英語のリソースを参考にまとめていきたい。

Bad Rabbitとは何か？

(身代金を要求する画面のキャプチャ。Kasperskyより引用）

BadRabbitはランサムウェアの一種である。

これまで拡散されたランサムウェアの亜種ではなく、新種であるとされている。

(2017/10/25 追記)

Malwarebytesの分析によれば、今年の6月頃に流行したPetya/Not Petyaに使われたコードと重なるコードが多いようだ。

その事から、Malwarebytes Labsは、Petya/Not Petyaと開発者が関わっていると分析している。

Petya/Not Petyaの際に使われた手法と比べて、機能の高い暗号化モジュールを用いており、正式なドライバーとしてダウンロードされる事から前回で不満だった点を潰して、再度攻撃を試みているのだろう。

Bad Rabbitはどのように拡散するのか？

Bad RabbitのDropperはドライブバイダウンロード攻撃を使って拡散する。

ターゲットが公式のウェブサイトを訪問しているのにも関わらず、Dropperが攻撃者のネットワークからダウンロードされる。エクスプロイトは使用されないため、ターゲットはDropperを自分でダウンロードしなければならない。この時、DropperはAdobe Flash Playerを装っている。

Kaspersky Labsの報告によると、

現段階では、数多くのウェブサイトが攻撃者によってCompromised(改ざんや感染)されており、その多くはニュースやメディアウェブサイトである。

Kaspersky Labs

Bad Rabbitのターゲットは誰か？

BadRabbitはウクライナ、トルコ、ドイツ等で確認され、およそ200の組織・団体がターゲットとなっている。

Bad Rabbitによって起きた被害は何か？

ロシアではInterfaxという通信社、ウクライナではOdessa空港が被害に遭い、そこでは遅れの生じた飛行機の便まであったようだ。

ロシアでは重要インフラなどが停止する程の被害は出ていないものも、アメリカのDepartment of Homeland Security(アメリカ合衆国国土安全保障省)は、BadRabbitに関する注意喚起を促している。

Technical Analysis

ランサムウェアのDropperは

• hxxp://1dnscontrol[.]com/flash_install.php

から拡散される。

(Kasperskyより引用）

ターゲットは、公式のニュースサイト等から、以上のURLが示すページにリダイレクトされる。

ダウンロードされるファイルの名前は、install_flash_player.exeで、ターゲットによって手動で起動されなくてはならない。

きちんと動作する為には、Administrator権限が必要なので、ターゲットがファイルを起動する際に、ポップアップが表示され、管理者権限で実行を許可する必要がある。

起動すると、悪意のあるコードを含んだDLLファイルをC:\Windows\infpub.datとして保存し、rundll32を使って起動する。

(悪意のあるコードを含むDLLの疑似コード。Kasperskyより引用）

infpub.datは、WindowsのNTLM認証のブルートフォース攻撃をする事ができる為、擬似乱数的なIPアドレスを持つWindows端末に対してログインが可能となる。

（ハードコードされた認証情報。Kasperskyより引用）

infpub.datは、悪意のあるコードを含むdispci.exeをC:\Windowsに保存。タスクを作成して起動する。

（タスクを作成し、.exeファイルを起動するコマンドを含む疑似コード。Kasperskyのサイトより引用）

更に、infpub.datは典型的なランサムウェアとして機能する。組み込まれた拡張子リストを読み込みながら被害者端末内にあるデータファイルを検索し、RSA-2048キーを使って暗号化を始める。

（攻撃者の公開鍵と拡張子のリスト。Kasperskyより引用）

攻撃者の公開鍵は以下となる。

Public-Key: (2048 bit)
Modulus:
00:e5:c9:43:b9:51:6b:e6:c4:31:67:e7:de:42:55:
6f:65:c1:0a:d2:4e:2e:09:21:79:4a:43:a4:17:d0:
37:b5:1e:8e:ff:10:2d:f3:df:cf:56:1a:30:be:ed:
93:7c:14:d1:b2:70:6c:f3:78:5c:14:7f:21:8c:6d:
95:e4:5e:43:c5:71:68:4b:1a:53:a9:5b:11:e2:53:
a6:e4:a0:76:4b:c6:a9:e1:38:a7:1b:f1:8d:fd:25:
4d:04:5c:25:96:94:61:57:fb:d1:58:d9:8a:80:a2:
1d:44:eb:e4:1f:1c:80:2e:e2:72:52:e0:99:94:8a:
1a:27:9b:41:d1:89:00:4c:41:c4:c9:1b:0b:72:7b:
59:62:c7:70:1f:53:fe:36:65:e2:36:0d:8c:1f:99:
59:f5:b1:0e:93:b6:13:31:fc:15:28:da:ad:1d:a5:
f4:2c:93:b2:02:4c:78:35:1d:03:3c:e1:4b:0d:03:
8d:5b:d3:8e:85:94:a4:47:1d:d5:ec:f0:b7:43:6f:
47:1e:1c:a2:29:50:8f:26:c3:96:d6:5d:66:36:dc:
0b:ec:a5:fe:ee:47:cd:7b:40:9e:7c:1c:84:59:f4:
81:b7:5b:5b:92:f8:dd:78:fd:b1:06:73:e3:6f:71:
84:d4:60:3f:a0:67:06:8e:b5:dc:eb:05:7c:58:ab:
1f:61
Exponent: 65537 (0x10001)

.exeファイルのdispci.exeは、DiskCryptorという公式ツールのコードを元に作成されていると思われる。

dispci.exeは、被害者端末のディスクを暗号化するモジュールとして機能し、ブートローダーの設定を変更し、通常の起動プロセスを禁止する。

面白いことに、このマルウェアを作成した攻撃者は、大人気TVシリーズの”Game of Thrones”のファンであることだ。

マルウェアの中で定義されている変数の名前が、同作品に登場するキャラクターの名前になっている。

（”Game of Thrones”に登場するドラゴンの名前。Kasperskyより引用）

（”Game of Thrones”に登場する登場人物の名前。Kasperskyより引用）

Kasperskyの公表する対処法としては、

• エンドポイントセキュリティ等、全てのプロテクション・メカニズムを有効化する事。
• アンチ・ウイルスのデータベースを直ちにアップデートする

• 本マルウェアで使用される2つのパス、c:\windows\infpub.dat and C:\Windows\cscc.datの実行を制限する。

• アプリケーションの起動に関わる設定の中から、Default Denyを有功化し、見覚えのないファイルの実行を拒否する。

Kaspersky社のアンチウイルスソフトでは、以下のシグネチャによって検知される。

• Trojan-Ransom.Win32.Gen.ftl
• Multi.Generic
• PDM:Trojan.Win32.Generic

IOCs:

• http://1dnscontrol[.]com/
• fbbdc39af1139aebba4da004475e8839 – install_flash_player.exe
• 1d724f95c61f1055f0d02c2154bbccd3 – C:\Windows\infpub.dat
• b14d8faf7f0cbcfad051cefe5f39645f – C:\Windows\dispci.exe

更新履歴

2017/10/25　14時52分　初稿

2017/10/25　18時10分　Petya/Not Petyaの進化版である旨を追記

2017/10/27　17時43分　Referenceにニュース記事を追記

お疲れ様です。いちです。

本日は以下のセキュリティニュースのダイジェストをお送りします。

• ファイルレス・マルウェアの隠れた脅威
• ”APT28”、"FancyBear"によるセキュリティ専門家への攻撃
• チェコ共和国の選挙を狙ったDDoS攻撃

それでは早速、参りましょう！

ファイルレス・マルウェアの隠れた脅威

マルウェアの急速な増加は驚異的で、一分間の間に4つ新しい種類が生まれているようだ。

エンドポイントセキュリティ等を開発するセキュリティ企業と、クラッカー達はいたちごっこを繰り返しながら、開発競争を進めている。

そんな中でも、最近話題になっているのが、ファイルを持たない”ファイルレス・マルウェア”だ。

今回紹介している記事では、そんなファイルレス・マルウェアについて解説している。ファイルレス・マルウェアについて、簡単にまとめておきたい。

ファイルレス・マルウェアとは

ファイルレス・マルウェアとは、文字通りファイルを持たないマルウェアのことを意味する。

その性質のために、従来のファイルスキャンを回避する為検知されずにターゲット端末に侵入することが出来る。

現在広く使われているエンドポイントセキュリティは、マルウェアファイルの特徴を記したシグネチャとマッチングさせて脅威を検知しているが、ファイルレス・マルウェアはそもそもスキャンするファイルが存在しないのだ。

以下、ファイルレス・マルウェアがどのような攻撃を行うのか簡単にまとめる。

ファイルレス・マルウェアの侵入・攻撃方法

まず攻撃者は、囮のワードファイル等を用意してターゲットの端末に無害なファイルをダウンロードさせる。

ユーザーがそのドキュメントを開いたり、閉じたりする等の動作をスイッチとしてPowerShellコードを実行させる。この手法は、過去の記事でも紹介した通りである。

他にもRAMやレジストリ、カーネル等に直接、悪意のあるコードを書き込んでしまうファイルレス・マルウェアも存在する。

PowerShell上で実行するコードに関しては、再起動される事でコードが終了してしまう可能性があるが、RAMやレジストリ等に書き込まれたコードは、再起動される毎に新たにコードに書かれたコマンドが実行される。

実際に銀行などがファイルレス・マルウェアの被害に

今年の始め頃に、40カ国以上の規模で、100を超える銀行や金融機関がファイルレス・マルウェアの被害に遭った。

その段階ではファイルレス・マルウェアを使った攻撃は一般的ではなかった為、被害にあった企業は対応に追われた。

実際に被害にあった企業を担当するあるセキュリティ専門家は、マルウェアソフト”Meterpreter”のコピーをマイクロソフト・ドメイン・コントローラーの物理メモリに発見したという。

この時の攻撃では、PowerShellを使ってメモリに書かれたMeterpreterを呼び出し、被害にあった銀行のATMにアクセスしようとしていたと公表されている。

他にも、今年の2月にはロシアの銀行が被害にあった。

ファイルレス・マルウェアを使って、被害にあった銀行のATM8台をコントロールし、およそ80万ドル(およそ9千万円)もの金額を盗み出した。

被害にあった企業のバックエンドネットワークや、ATMにはマルウェアが仕込まれたログは存在しなかったものの、ATMのHDDにはマルウェアが活動した痕跡を示すログがあったという。

その事から、HDDにマルウェアが直接書き込まれており、遠隔から管理者権限のあるユーザーのコマンドを使って、攻撃を実行したと思われている。

”APT28”、"FancyBear"によるセキュリティ専門家への攻撃

10月始め、ロシア系のクラッカー集団が新たなプロジェクトを起ち上げ、アメリカのサイバーセキュリティカンファレンスの参加者をターゲットにした。

この集団はAPT28、又の名をFancy Bearという。

Fancy Bearは、Conference_on_Cyber_Conflict.doc"というドキュメントを作成。ドキュメントの内容は、2ページのCyConのイベントパンフレットだったという。

ドキュメントにはマクロで書かれたスクリプトが仕込まれており、文書を開いた時にマクロ機能をONにすれば、バックエンドがターゲットの端末にダウンロードされるようになっていた。

マクロが実行された時にダウンロードされるのはFancyBearが攻撃をする際に頻繁に使用する、Reconnaissance用マルウェア"Seduploader”だという。

Seduploaderは、FancyBearによって何年も前から使われてきたマルウェアで、2つのファイルで構成される。

1つはDropper、もう1つはPayloadだ。

以下、Dropperについてまとめる。(Payloadに関しては、Cisco Talosのサイトで実際のペイロードの画像が貼り付けられているのでそちらを参照いただきたい。)

Dropperについて

Dropperは、以下の2つのファイルをインストールする。

Dropperの仕組み

• netwf.bat・・・netwf.dllを実行する
• netwf.dll・・・ペイロード

また、Dropperは、以下の2つの仕組みで実行される。

Dropperの仕組み

• HKCU\Environment\UserInitMprLogonScriptが、netwf.batを実行する。
• 世COMコンポーネントであるMMDeviceEnumeratorのハイジャック。CLSIDは{BCDE0395-E52F-467C-8E3D-C4579291692E}。

（Payloadに関してはCisco Talosのサイトを参照して頂きたい。）

そして最後に、rundll32.exeがペイロードを実行する。COMコンポーネントのハイジャックが実行された場合は、explorer.exeによって実行される。

その場合、explorer.exeはMMDeviceEnumeratorのクラスをインスタンスし、ペイロードを実行する。

このインシデントに関して、カンファレンス主催者はCyConのウェブサイトで注意喚起をしている。

チェコ共和国の選挙を狙ったDDoS攻撃

先週の金〜土にかけて行われたチェコ共和国の議員選挙の結果を掲載するウェブサイトが、DDoS攻撃の被害に遭っていた事が明らかになった。

DDos攻撃の被害に遭ったのは、チェコ政府直轄の統計機関（CSU）のウェブサイトだ。

同ウェブサイトは、ポピュリスト系の政党である”Action of Dissatisfied Citizens(不満を抱く国民達の行動)”党から出馬した、 Andrej Babiš氏が当選した事実を掲載していた。

Andrej Babiš氏は、選挙の得票率は30%を記録し、他の候補者を圧倒した得票率を叩き出した。

DDos攻撃による選挙の結果に影響はなかった為、DDoS攻撃の目的が明確ではないが、恐らくポピュリスト系の政治家が当選した事に不満を持った何者かが攻撃を仕掛けたとみている。

当選したAndrej Babiš氏は、億を超える資産を持つ資産家である事から、アメリカのトランプ大統領のように嫌悪している人は少なからずいるに違いない。

ちなみに今年の初めにも、チェコ共和国の外務省職員を標的にしたサイバー攻撃が発生しており、当時の外務大臣であったLubomir Zaoralek氏の個人的なEメールなどが流出した被害があったようだ。

お疲れ様です。いちです。

本日は以下のセキュリティニュースのダイジェストをお送りします。

• Equifaxの情報漏えいから学べる事
• いたずらでDDoS攻撃を仕掛けた19歳の少年が3年懲役実刑

それでは早速、参りましょう！

Equifaxの情報漏えいから学べる事

先月、9月初旬に発覚したアメリカのクレジット情報企業”Equifax”の大規模な情報漏えい被害に関して、今後活かせる事をまとめている記事。

この記事は、インシデントの前、インシデント発覚後、インシデント公表後の3段階に分けてそれぞれ振り返りを行っているので、このまとめでも三段階に分けてそれぞれ見ていきたい。

インシデントが起きる前

Equifaxは、サイバー攻撃がApache Strutsの脆弱性をエクスプロイトした攻撃だったと公表している。Equifaxが攻撃を受けるずっと前から、既に他の企業でインシデントが発生しており、パッチも提供されていた。

にもかかわらず、Equifaxはアップデートを行わず、インシデント発生を許してしまった。

この段階で得られる教訓は以下になる。

学べること

• 攻撃者がどのような手段を使って、自分の管轄下にあるインフラ、ユーザー、プロセスを攻撃してくるのか把握し、システムの弱点と、攻撃者の可能なアクセス経路について知る。
• 自分の管轄下にあるシステムに対して、攻撃者がどのような手段を使って攻撃してくる可能性があるかを理解し、どうしたらデジタル資産を守れるか前向きに検討する。
• サイバーセキュリティ業界の動向とトレンドを掴むためにスレットインテリジェンスプログラムを構築し、それに基いてセキュリティ管理を行う。
• 業界で基本とされている、攻撃からシステムを守る方法を深めたり、パッチ当て・アップデートを定期的に行う等のセキュリティ文化を自社に広める。
• 社内秘の情報を含む通信を全て暗号化し、ネットワークのセセグメント化を行う。
• ユーザーに対して、パスワード管理方法や認証システムの強化に関して教育を行う。
• 攻撃が起きることを想定した上で、自社の防御プラン、インシデントレスポンス方法のレビューと強化を行う。

インシデント発覚後

今回Equifaxは情報漏えいのインシデントレスポンスを行う必要があっただけでなく、自社のCEOがインシデント発覚前に大量の自社株を売り払っていた。その事からインサイダー取引の疑いをかけられ、政府からの調査も入っていた。更に、Equifaxのカスタマーサービスが、顧客からの問い合わせに対応するキャパシティがなかった。

この段階で得られる教訓は以下になる。

学べること

• インシデントに関する情報公開を信頼できる個人だけに留める事で、二次災害の発生を防ぐ。どんなに組織が迅速に対応出来るとしても、インシデント発見から公表までに時間がかかる事は自然である。
• 世間から会社に対する信頼がを損なう事を予想しつつも、世間からどのような評判が立ち、自分の行動がどのような結果を生むか可能な限り分析する
• 計画されているレスポンス方法を分析し、インシデントが起きたとしても対処できる程の余力（通信インフラ、人員など）を常に確保しておく。

インシデント公表後

インシデント公表後は、セキュリティ研究者やクラッカー達が、インフラに他の脆弱性が存在するか探しに来る。Equifaxのインシデントのときには、顧客のクレジット情報の不正利用を報告するためのポータルサイトが安全でないことが発見された。ニュースが拡散された際には、今回のインシデントは誰の責任で、どのデータが漏洩し、どのようにデータが使用されたか質問が殺到する。これらの質問の答えが、被害にあった企業とその顧客に対する影響を物語る。

この段階で得られる教訓は以下になる。

学べること

• インシデントが発生した際には明確なコミュニケーションを行う。何が分かっていて、何が不明なのかを公表する。メディアからの推測は、企業に対する世間の信頼を損なう危険性がある。
• インシデントによって漏洩したデータがオンライン上で取引されていないかリサーチする。インシデントによって獲得したデータが金銭目的のものか知るだけで、その後に発生する更に大きなインシデントに対する対処方法が変わってくるからだ。

Equifaxのインシデントは、世界中の企業に対して継承を鳴らしたインシデントであった。セキュリティ管理者や企業役員はこの機会を使って、自社のネットワークインフラにどんな穴があるか分析する事ができる。本インシデントに関する情報がさらに公開されれば、セキュリティ対策を更に強化することができるようになるだろう。

いたずらでDDoS攻撃を仕掛けた19歳の少年が3年懲役実刑

アメリカの裁判所が、いたずらでDDoS攻撃を仕掛けた19歳の少年に対して、懲役3年を言い渡した。

懲役の対象となった彼の行為は2016年の10月頃、アリゾナ州のMariposa郡で発生した。

彼の罪は、アメリカの緊急通報システムである”911”のネットワークに対してDDoS攻撃を仕掛けた事だ。

少年の名はMeetkumar Hiteshbhai Desaiで、彼は元々Desaiはバグハンターとして活動していた。

Desaiのしたイタズラは以下のステップになる。

Desaiのいたずら

• DesaiはSNSにリンクを貼り付ける
• ユーザーはそのリンクをクリックする
• iOSユーザーの場合、電話アプリを起動する
• 通話開始→通話終了→911にリダイアルする

実は、Desaiは2種類のマルウェアを作成し、本当は”リンクを踏んだiOS端末にポップアップを表示する”マルウェアのリンクを貼り付けようとしていた。

しかしDesaiは、もう一方のマルウェアを配布してしまい、結果的に有罪判決を言い渡されてしまった。