SouthPlume                                               情報セキュリティの選りすぐりの技術と信頼を届けます

                                   

SIPSセキュリティレポート 2021年1月22日号

***************************************************************
 2要素認証も効果なし脆弱性を悪用するサイバー攻撃
***************************************************************
2021年に入り3週間ほど経過したが、サイバー攻撃は止まらない。
今月中国ブラックマーケットでは通常より多くのハッキング情報の売買掲示が確認されていて、昨年
から多く確認されている掲示内容の一つに【認証を代行します】【SMS認証を提供します】といった
内容がある。

ここで言う認証とは、特定サイトにログインする際に使われる2要素認証を指し、自分のアカウントで
ログインしようとした時にメールやショートメッセージ(SMS)に認証用のワンタイムパスワードが送られて
きて、そのワンタイムパスワードを入力することでログイン出来るというものである。

つまりこの【認証】に関する情報を得たサイバー犯罪者は、2要素認証を回避し任意の第三者に
なりすまして特定サイトにログインしてアカウント本人と同等に自由に操作が可能になるのである。

もしこれがショッピングサイトであれば登録済のクレジットカード情報で自由に買い物ができてしまう。
金銭に替えることができるポイントがあるサイトであれば、溜まったポイントを任意の口座に振り込む
こともできる。もちろん銀行やキャッシュレスペイであれば様々な不正利用が可能になる。

1月13日米国の国土安全保障省サイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA)が
サイバー攻撃者は、様々な戦術と手法を使いクラウドサービスへのサイバー攻撃を成功させていると
警告している。

これによると、攻撃に関与するサイバー脅威は、フィッシング、ブルートフォースログイン試行、場合に
よってはpass-the-cookie攻撃などの手法を使いクラウドセキュリティの弱点を悪用したとある。

【pass-the-cookie攻撃】とは、攻撃者が乗っ取ったPCのブラウザ上から認証クッキーを盗みだし
このクッキーを使い様々な認証プロトコルをバイパスさせるというものである。

cookie(クッキー)とは、訪問したWebサイトからスマホやPCの中に保存される情報のことで、そこに
はサイトを訪れた日時や、訪問回数など、さまざまな内容が記録されている。
IDとパスワードを入力して一度ログインしたサイトでは、再びアクセスしてもIDとパスワードを入力せず
にログインすることができる。

cookieは、Webのアクセスや操作を便利するものであるが、これを第三者が悪用すればアカウント
本人に成りすますことが出来てしまう脅威も存在する。

また、中国ブラックマーケットでは、これらの2要素認証と関連があるかもしれない【携帯電話の情報
を販売します】といった掲示が年末より多数確認されている。
携帯電話を悪用される可能性もあるので携帯電話で認証等を行っている場合は注意が必要だ。

もう一つ気になるニュースがあった。
小規模向けCisco Systems製ルータに計74件の脆弱性が存在しているという。
これには深刻な脆弱性が含まれていて、既にサポート終了、アップデートの提供予定はないという。
中小企業だけではなく相当数が利用されているものと想定されるが、深刻な脆弱性が存在する
まま利用すればハッカー達に狙われるのは間違いない。
該当する企業は至急確認して対策を取る必要がある。

それ以外には【GoogleのIDを販売します】といった書き込みも今月は多い。
Googleからはchromeに複数の脆弱性が存在するとして修正バージョンがリリースされている。
これら脆弱性を悪用されると、攻撃者によって影響を受けたシステムの制御権が乗っ取られる危険性
があるとされていて、最新バージョン(Chrome 88)にアップデートすることで、この問題は解決すると
なっているので、早急にアップデートしたい。

中国ブラックマーケットで販売されているGoogle IDは、これらの脆弱性を突いてハッキングされた
ものかもしれない。旧バージョンであればこのIDでなりすましログインされることで完全に乗っ取られる
可能性もあるので十分に注意しなければならない。

中には【日本のGoogle IDを毎日約200個安定的に提供します】と言った内容もあった。
これは、フィッシングで情報を取得しているもので、フィッシング詐欺にあった日本人が毎日200件
以上フィッシングによって自らの情報を偽サイトに提供しているのである。
フィッシングメールは増加していて、今年に入り筆者には約20件のフィッシングメールが届いている。
そしてこれらフィッシングメールの発信元を確認すると、その殆どは中国からである。

【日本の各種フィッシングサイトのソースコードを販売します。】と言った書き込みも確認されているので、
まだまだフィッシングが収束することはないだろう。
またスマホ関連では【日本の@docomo.ne.jp、@ ezweb.ne.jp、@ i.softbank.jpのメール
データを販売します】と言った書き込みもあった。
これは日本の携帯大手3社の携帯電話用メールドメインであることから、携帯電話宛にも送信され
てくることは間違いない。

1月に入ってからの日本企業の不正アクセス被害も多数確認されていて、次々とニュースになっている。
最近ではコロナ禍緊急事態宣言による飲食店や病院に対する罰則規定のニュースも耳にするが、
サイバー攻撃に関するセキュリティ対策として、これだけの情報を流出させている企業に対しても
同様に罰則を定めた方がいいのではないだろうか。

どちらにしても、これだけ好き勝手に日本の情報はハッキングされ流出しているのだから、いつどこから
これらを2次利用したサイバー犯罪が起きてもおかしくはない。
まずは「脆弱なアプリバージョンを利用しない」、「フィッシング詐欺の罠にかからない」など企業も個人
も気を引き締める必要がある。

企業のハッキング被害だけではない。
新型コロナウイルス同様に、貴方自身がいつサイバー犯罪の被害に遭ってもおかしくない状況なの
である。
---------------------------------------------------------------------------------
 <参考URL>
CYBERSECYRITY & INFRASTRUCTURE SECURITY AGENCY:2021/1/13(英文)
Attackers Exploit Poor Cyber Hygiene to Compromise Cloud Security Environments
https://us-cert.cisa.gov/ncas/current-activity/2021/01/13/attackers-exploit-poor-cyber-hygiene-compromise-cloud-security

Data Center Cafe:2021/1/18
CISA、多要素認証をバイパスするクラウド攻撃を警告
https://cafe-dc.com/other/cisa-warning-over-cloud-attacks-bypassing-multi-factor-authentication/

JPCERT/CC WEEKLY REPORT:2021/1/14
Google Chromeに複数の脆弱性
https://www.jpcert.or.jp/wr/2021/wr210201.html#1

Security Next:2021/1/20
小規模向けの一部Cisco製ルータに深刻な脆弱性 - 更新予定なく利用中止を
https://www.security-next.com/122608

                                  Home     製品情報     サービス     会社情報     お問い合せ

Copyright (C) 2014 SouthPlume Co.,Ltd. All Rights Reserved