SouthPlume                                               情報セキュリティの選りすぐりの技術と信頼を届けます

                                   

SIPSセキュリティレポート 2022年7月21日号

***************************************************************
  サイバー空間の二重の脅威 サイバー攻撃とサイバー闇ビジネス
***************************************************************
今月も多くの企業がサイバー攻撃の被害を受けていて、日本でも読売新聞オンライン、キンコーズ、
名古屋商工会議所、日経グループアジア、サンドラック、バンダイナムコなど著名な企業が名を連ね
ている。もちろん中小企業や学校、公共機関などもこれに続き、この状況から読み取れるサイバー
攻撃の傾向は企業規模・業種に関係なく無差別に攻撃がされているという事である。

また著名な企業であれば当然セキュリティ対策は実施しているはずであるが、それでも攻撃を受けて
いるという点は、現状の対策では守り切れないという事を如実に表わしていると言わざるを得ない。

攻撃の方法は様々で、「リスト型攻撃」、「踏み台攻撃」、「SQLインジェクション攻撃」、「マルウェア」
「アカウントの不正ログイン」、「ランサムウェア」などが確認されている。

それではどうやってこれらの攻撃が発生しているのか検証してみる。
アカウントの不正ログインは、正規のログインID/パスワードが流出していて、そのログイン情報を利用
して侵入してくる。
例えば、読売オンラインやサンドラッグで発生した不正ログインは、他社サービスから流出したIDとパス
ワードを使ってログインを試みる「パスワードリスト攻撃」と報告されている。
では、そのIDとパスワードはどこから流出していたのか?それをどこで入手したのだろうか?

可能性の一つに、Information Stealerと呼ばれるマルウェアによって流出したID/パスワードを利用
されたと考えられる。これは企業や個人のPCがメールの添付ファイルやWebのダウンロードサイトを経由
して潜入したマルウェアによって、PC内にあるログイン情報を窃取し、C2サーバを利用して外部に流出
させるという手法で、流出したログイン情報はダークウェブやブラックマーケット上に無数に存在していて、
サイバー攻撃者や闇ビジネス事業者、サイバー犯罪者達に共有され販売されているのである。

SIPSで確認されたInformation Stealerによるログイン情報には、日本企業の情報も無数に存在
していて、その数を確認するのが難しいほどの量がある。
統計的な確認と分析をした結果、日本企業の6割以上のログイン情報が流出しているという事が判り
これらを利用すれば、流出者のアカウント権限でログインが可能になるという事になる。

もちろん、パスワードリスト攻撃用に使うハッキングツールを使ってパスワードを検出する手法もあり、この
ようなハッキングツールはブラックマーケットでは無数に共有及び売買されている。

今月にサイバー攻撃を受けた日経アジアとは別に、同じ日本経済新聞社のグループ企業である日経
メディカルオンラインも、先月24日に会員アカウントに対する外部からの不正アクセスが確認され、当該
アカウントを使ったギフト券コードの不正読み取りの被害を受けている。
これもおそらく、同じような状況で流出しているアカウントを利用された可能性が高い。

このようにサイバー攻撃で利用する個人情報やログイン情報はハッキングやマルウェアによって流出する。
流出した情報は闇市場(ダークウェブ/ブラックマーケット)で共有・売買されている。
共有・売買されていたログイン情報は、サイバー闇ビジネスとして新たに2次攻撃に利用されてしまう。

この時のログイン情報は正規の会員のログインのためのID/パスワードであることから、当然セキュリティ
検知はされず、ログインして当該アカウントの権限の範囲で利用ができる事になる。
仮にこのログイン情報が内部の上位権限者のものであれば危険で、これがシステム管理者のものであれ
ば、全ての内部システムにアクセスできてしまう可能性さえある。

もしハッキンググループが内部に侵入したら、ラテラルムーブメントと呼ばれる水平移動型の不正アクセスに
よって、他の内部サーバにも侵入し、最終的には機密情報を盗まれ、場合によっては暗号化されてしまう。
このようなランサムウェア攻撃でさえ、サイバー闇ビジネスが存在していて収益モデルさえある。

闇市場にアクセスして、このような情報を利用する人はハッキンググループと呼ばれるサイバー攻撃者だけ
ではなく、闇ビジネス事業者やサイバー犯罪者も利用する。
闇ビジネス事業者やサイバー犯罪者の目的は金品のみで、相手が誰であろうと関係なく、利用できる
だけ利用して金品を奪い取る。

このような闇ビジネスは、そのほとんどが組織的に行われるのだが、現実社会で行うサイバー犯罪の実行
犯は別の人間を雇って行わせる。
この実行犯の募集は一般的なメッセージングアプリを使って、あたかも簡単な軽労働で高収入を謳う。
しかしその募集に応じようとアクセスしても、そこには闇ビジネス事業者と連絡を取るためのアカウントのみ
記載され、そのアカウントにアクセスしてきた人間のみが実際の内容を聞かされ不正利用や不正購入の
実行もしくは購入した商品の受け子となり、成果に応じた報酬を得る事になる。

もちろん、闇ビジネス事業者は募集に応じる本人とは面識がなく、連絡は指定されたアプリのアカウント
を通じてのみで行い、ビジネスが終了すると闇ビジネス事業者のアカウントは削除される。
これによって現実社会で万一不正による事件が表面化しても、闇ビジネス事業者は架空の存在として
その存在を知られることがなく金品を入手できるという事になる。

サイバー攻撃者に攻撃され情報が流出する事も企業にとっては大きな問題ではあるが、その流出した
情報を2次利用されて金品を奪われるというのも大きな損出が出る。
情報を流出した企業が2次利用されて被害を受けるのであれば、情報を流出した企業の責任で終了
するのだが、ほとんどの場合、2次利用される企業は情報流出した企業とは別の企業であることが多い。

このようにサイバー攻撃によって受ける被害と、サイバー攻撃によって流出した情報を使った闇ビジネス
による被害の2つの側面のサイバー脅威がサイバー闇市場には存在する。
これからは、サイバー攻撃のセキュリティリスクと、サイバー闇ビジネスに巻き込まれるリスクを考慮した対策
が必要になってくる。

しかし最近の攻撃は巧妙で、簡単に攻撃を検知し排除する事は難しくなってきている。
特に巧妙に作られたマルウェアを見つけ出すことは極めて困難であり、情報は窃取され、売買される。
流出情報を使うサイバー闇ビジネスの手法は、今の日本のデジタル社会では簡単に見極められない。

身分を詐称してセキュリティエンジニアに扮し、最高権限を取得後、正規ログインしてマルウェアを設置
するという敵対国家支援の巧妙な諜報工作活動まで確認されている。

最後にお願いがある。昨今興味本位でダークウェブやブラックマーケットにアクセスして、サイバー攻撃や
サイバー闇ビジネスを探っているような情報を見ることが多いが、けして知識や技術的根拠のない人が
アクセスする事は避けてほしい。
好奇心で接近するとハッカーの攻撃を受ける可能性があり、更には知らない間に不正行為や犯罪に
巻き込まれてしまう事もあるので、偶然ダークウェブやブラックマーケットへのコンタクト先を知ったとしても
専門知識を持たない限りアクセスする事は止めて欲しい。
安易な行動が貴方や貴方の会社にも影響が出る可能性があるという事を理解していただきたい。
-----------------------------------------------------------------------------------
 <参考URL>
毎日新聞:2022/7/8
読売新聞のサイトに不正アクセス 個人情報流出の可能性
https://mainichi.jp/articles/20220708/k00/00m/040/351000c

女子SPA:2022/7/16
中国系SNSで「闇転売」される日本の処方薬。薬局や病院から横流しの実態
https://joshi-spa.jp/1178662

ZDNet Japan:2022/7/19
北朝鮮のハッカー、「副業」で中小企業にランサムウェア攻撃か
https://japan.zdnet.com/article/35190606/

So-net セキュリティ通信:2021/10/26
Cookie(クッキー)を狙ったサイバー攻撃が増加している?利用するときの危険性や対処法を解説
https://securitynews.so-net.ne.jp/topics/sec_20172.html

                                  Home     製品情報     サービス     会社情報     お問い合せ

Copyright (C) 2014 SouthPlume Co.,Ltd. All Rights Reserved