SouthPlume                                               情報セキュリティの選りすぐりの技術と信頼を届けます

                                   

SIPSセキュリティレポート 2022年8月2日号

***************************************************************
  最近主流となるサイバー攻撃
***************************************************************
最近「サイバー攻撃で情報流出」というニュースは、当たり前のように見かけるようになってきているが、
では、具体的な攻撃とはどのような行為を指すのだろうか?
ひと昔前は、高度な技術を持つ悪いハッカーがサーバに不正侵入してきて情報を盗み取って行く。
いわゆるハッキングで、このハッキングのためのセキュリティ対策が主流であった。

正確に言うと「ハッキング」とは、高度な知識や技術を用い、コンピュータやコンピュータネットワークの
解析・改造・構築などを行うことを指し、第三者のコンピュータやネットワークに不正に侵入しデータを
窃取、改竄、消去、停止するなどの不正行為をする事は「クラッキング」と呼ぶのだが、このような行為
を行う人間を「ハッカー」と呼ぶことから、「ハッキング」が不正アクセスというイメージで定着してしまった
のである。とりあえず今日は「不正アクセス=ハッキング」として話をすることにする。

もちろん、現在でもハッキングによるサイバー攻撃は存在するが、それ以外にも「フィッシング」や「マル
ウェア」といったサイバー攻撃も存在する。
本日は、この「ハッキング」、「フィッシング」、「マルウェア」それぞれのサイバー攻撃とその関連性、更には
サイバー闇市場で、どのような扱いになっているのかを見ていきたい。

サイバー攻撃をする時に、無造作に状況が分からない機器にいきなりアクセスして不正侵入を試みる
攻撃者はいない。ターゲットを決めたらターゲットがどのような状態であるかを調査し、脆弱性が存在す
れば脆弱性を利用して侵入を試みというのが一般的である。しかし、昨今は複数メンバーで構成され
ているハッキンググループで活動し、メンバーそれぞれが実施する内容を分担する場合が多い。

特に、直接ハッキングする前にマルウェアを利用して情報窃取する事が多くなっている。
理由は、優れたマルウェアが確実に有用情報を集めてきてくれるからである。
ブラックマーケットにはマルウェアの売買やレンタルなどと言った闇ビジネスまで存在している。
標的として利用するメールアドレスはブラックマーケットにいくらでも売っていて、しかも低額なのである。

メールを送信したら、マルウェアを実行させるためにあの手この手で誘導して感染させる。
マルウェアに感染したら、最初に自身をコピーしてレジストリなどに密かに潜伏させてセキュリティ検知や
自身が削除されても大丈夫なようにして、残っているプログラムで目的の行動を実行する。
更に感染マシンのアドレス帳などを使い、スパムメールを送り付けて、マルウェアを拡散させる。
場合によっては、Botネットに繋ぎ、感染したマシンをゾンビ化して遠隔操作できるようにする。

様々な動きをするマルウェアで、最近特に多いマルウェアの一つが情報窃取マルウェアである。
感染マシンに存在する各種ログイン情報などを窃取した後、C&Cサーバに接続して情報を流出させる。
サイバー攻撃者は、各種ログイン情報が入手できれば、流出したアカウント情報でログインして、そこに
どのような情報が存在するか確認し、必要な情報を盗み取る。

こうして上位権限者のログイン情報が得られれば、流出したアカウントを使いログインするため、正規の
ログインでありセキュリティ検知もされない。その後は遠隔操作やバックドアプログラムを設置しておけば
自由に当該機器をコントロールできてしまい、目的の情報があれば任意の場所に送信するだけである。
高度なハッキング技術を使わなくてもターゲットにログインする事ができるという事である。

企業情報なのか、ショッピングサイトなのか、目的によってターゲットも変わってくる。
もちろん金融口座情報やクレジットカード情報が目的であれば、そこをターゲットにしてマルウェアで情報
を窃取すれば情報は得られる。
しかしこのような金銭に関係する情報はマルウェアでなく、フィッシングを使う。
偽サイトを作りそこに誘導して本人から情報を書き込ませればよい。
偽サイトのソースと情報を送信するC&Cサーバなどブラックマーケットでは沢山販売している。

クレジットカード情報はハッキングやマルウェアで入手した情報よりフィッシングで入手した情報の方が
高額に売買されているのである。理由は攻撃者が奪ってきた情報より、名義本人が騙されて入力した
情報の方が信頼度が、高いからである。こうして入手方法、利用限度額、有効期限などの違いにより
1枚のカード情報の売価が変わってくるのである。

このように、最近は攻撃目的によってフィッシングかマルウェアかを使い分け、情報を入手した後で次の
攻撃を実行している。もちろんこれら流出した情報をブラックマーケットで売買している人間もいる。

情報窃取マルウェアは、確認されているだけでも数十種類存在していて、攻撃者の中には中国、ロシア、
北朝鮮などの国家支援のハッキンググループが利用するマルウェアも多数ある。
しかも、最近のマルウェアは感染してもマシンに影響を与えないため、感染が分からず情報を垂れ流して
いる可能性もある。
もしこれが、ある会社のPCであれば、社内、関連会社、取引先など至る所に展開されて情報が抜き
取られることになる。

サイバー攻撃者だけではない。流出情報をブラックマーケットで買い、巧みに利用する闇ビジネスも多数
存在していて、アカウントの不正利用などいわゆるサイバー犯罪が繰り返される。
その一つに日本人の身分証があり、免許証、パスポート、マイナンバーなどの流出イメージを使い、偽造
身分証を作成している。

先週中国ブラックマーケットで「各種日本の偽造証明書を販売」という書き込みがあった。
「居住証明書」「在留証明書」「源泉徴収の免除証明書」「日本語能力証明書」など様々な証明書
が作成可能となっていて、これによると、「就業過程で必要な各種偽造証明書を販売します」とある。
つまり偽造証明書を使い身分を詐称して企業に就職し、企業内でスパイ活動を行う事が目的である。

もし、このような人が情報システム部門に採用されてシステム管理者になれば、主要なサーバにマルウェア
やバックドアを設置することができ、企業の機密情報は簡単に流出することになる。
信じられないだろうが、これが実際に行われている「サイバー闇ビジネス」で、もう一つのサイバー攻撃で
あると言っても過言ではない。

サイバー攻撃者やサイバー闇ビジネス業者が何を考え、何を狙っているのか分からなければ、日本は
永遠に情報流出被害を繰り返す事になる。

現実的な問題として、発生する攻撃を待って対策するセキュリティでは対応できなくなってきている。
ブラックマーケットには、サイバー攻撃者達の考え方や技術情報、トレンド情報が山積していて、これら
を理解すれば先回りした有効なセキュリティ対策が可能となる。

7月は今年に入って一番ブラックマーケットが活気づき、攻撃の予兆と考えられる情報が溢れていた。
多分、秋口にかけて日本は大きなサイバー攻撃による被害が起きるのではないかと懸念している。
-----------------------------------------------------------------------------------
 <参考URL>
日本経済新聞:2022/7/28
サイバー攻撃の原因、37%はフィッシング 米社調べ
https://www.nikkei.com/article/DGXZQOUC27DAM0X20C22A7000000/

ITmedia NEWS:2022/7/25
サイバー攻撃、同じ企業が何度も被害に 「被害企業は簡単に食い物にできる餌食と見なされる」
https://www.itmedia.co.jp/news/articles/2207/25/news047.html

GIGAZINE:2022/7/28
Discordのボットを悪用するマルウェアが登場
https://gigazine.net/news/20220728-cybercriminals-using-messaging-apps/

ZDNet Japan:2022/8/1
敵の視点で味方の弱点を発見する「ホワイトハッカー」はなぜ重要か
https://japan.zdnet.com/article/35190957/


                                  Home     製品情報     サービス     会社情報     お問い合せ

Copyright (C) 2014 SouthPlume Co.,Ltd. All Rights Reserved