SouthPlume                                               情報セキュリティの選りすぐりの技術と信頼を届けます

                                   

SIPSセキュリティレポート 2021年5月12日号

***************************************************************
 サイバー攻撃を助長する日本のセキュリティの現状
***************************************************************
日本に対するサイバー攻撃が加速している。
SIPSで確認された、昨年1年間の中国ブラックマーケットにおける売買情報掲示件数は、一昨年
に比べて1.5倍に増加しているが、昨年上期(2020年1月から6月)の136件に対し今年1月から
本日までの売買情報掲示件数は203件で今年は更に昨年の1.5倍になってきている。

昨年は中国ブラックマーケットでの1ヶ月の売買情報掲示件数が平均26件に対し、今年は月40件
を超えてきている。
中でも3月後半からゴールデンウィークにかけての情報掲示数は目を覆う勢いで確認され、4月には
1ヶ月で73件の売買情報の掲示を確認した。

4月28日のSIPSセキュリティレポート「簡単に攻撃が可能な日本のサイト情報が公開」に記載した
通り、この一件の書き込みでは1日5万件の日本の脆弱なサイトURLを提供するとし、サンプルだけ
で1500件ものURLが掲示されていた。

1件で数万件の日本の情報が売買され、それが4月だけで73件もの様々な情報売買の書き込みが
発生しているのである。
つまり、それだけ日本は中国からハッキングされ情報流出しているという事である。

脆弱なURLとして中国ブラックマーケットにサンプル公開されたURLは、ハッキング技術を持つ悪意の
ハッカーが見れば何ができるか直ぐに分かり、公開によりそれを見たハッカーは既にアクセス試行して
いるはずである。
実際に、このサンプルURLに存在していたWebサイトが中国ブラックマーケットで公開された翌日に
サイバー攻撃を受けシステム障害を発生させている会社もあった。

SIPSではホームページでの注意喚起に加え、サイトが特定できた政府機関、自治体、団体・企業
に対して可能な範囲で連絡し、注意を促したが確認の連絡が来た団体・企業は数件であった。
ホームページ上にメールや問合せが存在しない会社には電話連絡をしたが、「只今担当者が不在
なのでそのような情報は結構です」と電話を切られてしまった。

これが日本のセキュリティに対する現実なのかと実感した。
会社もサービスも知名度が低いとは言え、全くセキュリティに関心がない対応が残念でならない。

企業が対外的にサービスするアプリケーションは、ほとんどWeb形式で実装されるため、Webサイトが
攻撃者の攻撃目標となる場合が多い。
では今回のような脆弱性のあるURLはどのようにして確認されるのか?またその脆弱なURLに対して
どのように攻撃をするのかを考えてみる。

攻撃者は、Webサイトで利用可能な脆弱性を探し、WebサイトにWebShellを設置してターゲット
を制御する。

脆弱性の確認はWebサイトに存在する脆弱性スキャンツールを使うのだが、今年2月には中国ブラック
マーケットに、ハッキングツールとして、このスキャンプログラムが情報共有されていた。
更に、ファイアウォールやセキュリティソリューション(IPS、IDS、PROXY、Anti-Virus、EDRなど)を
バイパスしてターゲットを制御する技術情報の共有もあった。

攻撃者はターゲットからの検知を避けるためにWebShellの暗号化は一般的になっていて、トラフィック
の暗号化により、従来のWAFやWebIDSでの検知が難しくなった。

したがって、Webサイトを持つ団体・企業は攻撃者が使用する暗号化ツールを知っておく必要があり、
それに合う対策、対応方法を施さなければならない。

現在、中国系の攻撃者が多く使用しているWebShell管理ツールには、【China Chopper】、
【AntSword】、【Behinder】などが存在し、各々の暗号化機能とこれに対する検知方法について
理解する必要があるという事になる。

SIPSサービスではこれらのツールを使い、どのようにサーバ側のコードに対する難読化の作業を進め、
どうやって検知をバイパスするかについて分析しレポートを纏めてサービス加入者に提供した。
これを理解することで攻撃方法が把握でき、それに対する的確なセキュリティ対策も取れることになる。

これらの対策を行わなければ、脆弱なURLから各種脆弱性を利用して様々な攻撃を受けることになる。
脆弱性を利用して侵入、権限昇格、リモートコントロールなどが簡単に実行でき、サイト内の情報を
搾取、削除、改竄することが可能になる。
最悪の場合は、内部ネットワークへの更なる侵入を許し、ランサムウェア等のようなマルウェアを仕込まれ
たらひとたまりもなく、サイバー攻撃者の思うままに情報流出や金銭要求を受けることになってしまう。

このように中国ブラックマーケットはハッキング情報を売買するサイバー闇市場だけではなく、ハッキング
手法やハッキングツールまで情報共有するハッキングの図書館、ハッキングの学校のような役割も持つ。

日本の団体・企業が高額なセキュリティソリューションを導入して満足しているのを横目にしながら、
ハッカー達はその上を行く高度な技術で侵入と情報搾取を繰り返す。
そしてハッキングされた情報を使ってサイバー犯罪が発生する。いわゆる二次被害である。
中国本土からSNSで指示を出し、日本にいる実行部隊(安易な考えのアルバイトも含む)がサイバー
犯罪を実行し日本の金銭を奪取していくという事になる。

コロナ禍のリモートワーク、テレワークもサイバー攻撃者にとっては好都合で、セキュリティを知らない社員、
セキュリティに関心がない会社が次々とターゲットになり情報流出が加速しているという事である。

情報セキュリティはツールではない。一人一人の考え方、団体・企業の考え方や行動が変わらなければ、
延々とサイバー攻撃者の好き勝手にされる事になる。
中国だけではない、ロシアや北朝鮮といった国からの攻撃も増加している。
この現実を理解し、今まで以上に十分な対策が必要になる。
デジタル社会のリスクに目を背けてはいけない。
---------------------------------------------------------------------------------
 <参考URL>
サウスプルームNEWS:2021/4/26
簡単に攻撃可能な日本サイト情報公開!!
http://www.southplume.com/news20210426_2.html

日経XTech:2021/5/6
VPN狙うサイバー攻撃で露見、「SIer任せ」で既知の穴ふさがぬ日本企業
https://xtech.nikkei.com/atcl/nxt/column/18/00001/05550/

YAHOOニュース:2021/5/10
「ハッキングされていることすらわからない」日本の現状~米パイプラインがサイバー攻撃を受け停止
https://news.yahoo.co.jp/articles/28294caaa3c6c7429f3c9df1971f2e97b0720231

朝日新聞:2021/4/23
残された謎の「dmerm」 内閣府サーバー攻撃の内幕
https://www.asahi.com/articles/ASP4R678LP4RUTIL02P.html

                                  Home     製品情報     サービス     会社情報     お問い合せ

Copyright (C) 2014 SouthPlume Co.,Ltd. All Rights Reserved