コンティ、崩れた一枚岩 進化するサイバー攻撃に備えを

コンティ、崩れた一枚岩 進化するサイバー攻撃に備えを
サイバーカオス 解明コンティ・識者に聞く①
https://www.nikkei.com/article/DGXZQOUC16CAU0W2A510C2000000/

 ※ 『「ウクライナ人、または同国に親和的な内部メンバーが一定以上おり、反発の強さは幹部陣にも想定外だったとみられる。それでも反発はやまず、大規模な漏洩につながった」』…。

 ※ ということで、図らずもウクライナ事態が、内部亀裂を呼び、今回のデータ漏洩につながった…、という話しだ…。

 ※ 『「過去には攻撃ソフトを第三者に提供する『ランサムウエア・アズ・ア・サービス(RaaS)』の協力者が報酬に反発し、攻撃マニュアルを漏洩したこともあった。組織の大規模化や多国籍化に伴い、こうした内部分裂によるリークが増えることも予測される」』…。

 ※ 『ランサムウエア・アズ・ア・サービス(RaaS)』とか、イヤハヤ…な話しだ…。
 ※ ただ、そうなってくると、「報酬」の決め方で揉めることになる…。「金融」関係、「組織管理」関係の「貢献」は、「定量」的には決められないからな…。

 ※ これが、初期の「技術者集団」だったら、それこそ「書いたコードの行数」とかで、決まったりしてたんだろう…。

 ※ 基本、「ジョブ型」で行くとして、最後にはどうしても、「定性的な評価」の問題が残ってしまう…。

 ※ 日本企業が「苦しんでいる」のと、同じ構図だな…。

『日本経済新聞は世界最大級のサイバー攻撃集団「Conti(コンティ)」の漏洩データから知られざる活動実態を分析した。ランサムウエア(身代金要求型ウイルス)で得た巨額の収益を元に、多様な人材を採用し組織を拡大し、各国の端末の脆弱性を標的としていることがわかった。ロシア政府とのつながりも垣間見えた。データから読み取れる活動や脅威について識者に聞いた。

初回は三井物産セキュアディレクション(東京・中央)の吉川孝志上級マルウェア解析技術者に、コンティの漏洩データの分析を聞いた。

――コンティからチャット履歴などが漏洩したのはなぜですか。

「コンティ幹部が内部の結束力を見誤ったのが原因だ。ウクライナ侵攻でコンティがロシアを支持する声明を出したが、当初は『ロシア政府を全面的に支持する』と強いメッセージだった。だが、『我々はいかなる政府とも手を結んでいない』とすぐに書き換えられた」
三井物産セキュアディレクションの吉川孝志上級マルウェア解析技術者

「ウクライナ人、または同国に親和的な内部メンバーが一定以上おり、反発の強さは幹部陣にも想定外だったとみられる。それでも反発はやまず、大規模な漏洩につながった」

――チャットから何を読み解けますか。

「組織図や攻撃計画、各メンバーの情報に加え、休日申請が認められたと喜び合う投稿など一般企業さながらのコミュニケーションも見て取れる。参加メンバー同士の意見が衝突して『部署』の異動を求めたり、下位メンバーが上司の不満を漏らしたりと、コンティが必ずしも一枚岩ではないことも分かった。膨張した半面、幹部陣が組織全体を制御しきれていない実態も浮き彫りになった」

――コンティの活動は今後どうなりますか。

「チャットの漏洩直後にはメンバー同士で混乱し、疑心暗鬼になっている会話もみられた。マルウエアのソースコード(設計図)が流出したのが大きい。攻撃グループにとって最も貴重な機密の一つであるためだ」

「別の大手集団がコンティの人材を雇う動きもあった。その後は淡々と新たな被害組織への声明を更新し続けている。高度に組織化された攻撃集団のしぶとさを示している」

――今回の漏洩はサイバー脅威情勢にどう影響しますか。

「過去には攻撃ソフトを第三者に提供する『ランサムウエア・アズ・ア・サービス(RaaS)』の協力者が報酬に反発し、攻撃マニュアルを漏洩したこともあった。組織の大規模化や多国籍化に伴い、こうした内部分裂によるリークが増えることも予測される」

「ただ大手のランサム集団が停止しても、後継の集団や一部メンバーによる新たな集団が生まれるのが常だ。研究と分析を続け、進化し続ける攻撃手法への備えが求められる」

(聞き手はサイバーセキュリティーエディター 岩沢明信)

吉川孝志(よしかわ・たかし) マルウエアの検知技術に関する米国および国内の特許を複数発明。サイバー犯罪の摘発や被害の未然予防など警察機関への協力も行っている。主にマルウエアに関する解析や情報発信を中心に活動

【サイバーカオス 解明コンティ関連記事】
・世界最大級サイバー攻撃集団 「身代金」で100億円奪取
・まるで会社、渉外・調査部も 仮想組織でサイバー攻撃
・報酬月2000ドル・週休2日…サイバー攻撃人材の獲得実態
・ランサムウエア標的、日本2万台 脆弱性対応世界に後れ
・サイバー攻撃の「パナマ文書」、ロシア政府との関係示唆 』

[FT]スペイン首相らスパイウエア被害、情報局長官更迭

[FT]スペイン首相らスパイウエア被害、情報局長官更迭
https://www.nikkei.com/article/DGXZQOCB112PD0R10C22A5000000/

『スペインの政権は情報機関のトップを解任した。スパイウエア「ペガサス」が首相に対して使われていたことに加え、北東部カタルーニャ州の独立派の政治家数十人が監視されていた疑いも浮上して政治危機に発展するなか、政権は事態を収拾しようとしている。

スペイン政府は、スパイウエア「ペガサス」が首相と国防相に対して使われていたと発表した=ロイター

スペイン国家情報局(CNI)のエステバン長官が9日に解任された。政府はその1週間前、サンチェス首相とロブレス国防相のスマートフォンがペガサスを使ってハッキングされたことを公表していた。

ペガサスが現職の政府首脳に対して使用されたことが確認されたのは今回が初めて。このスパイウエアは既に米商務省のブラックリストに入っており、欧州議会の委員会も調査を進めていたが、今回の件で論争はさらに激しくなった。

イスラエル企業のNSOグループが開発したペガサスは、標的のスマートフォンに潜入し、データを送信させることができる。テロや犯罪に対する使用を条件に販売が許可されているが、米商務省は2021年、政府職員や活動家などを「標的として、悪意を持って」使用されていると断定した。

サンチェス首相=ロイター

スペインでのスパイ行為の発覚を受けて、サンチェス氏が率いる弱体の少数与党政権への支持率は低下した。また、同国を分断するカタルーニャの地位の問題では、永続的な政治決着への進展が止まりかねない状況となった。

カナダのトロント大学を拠点とするデジタル人権団体のシチズン・ラボは4月、カタルーニャのアラゴネス州首相など60人以上の独立派の監視にペガサスが使われていると告発した。これをきっかけに、CNI初の女性長官だったエステバン氏への圧力が強まっていた。
カタルーニャ独立派の電話を盗聴

スペイン国会の委員会が開いた非公開の聴聞会に出席した議員らによると、エステバン氏は、CNIは裁判所の許可を得てカタルーニャ独立派の指導者18人の電話を盗聴していたと述べたという。スペイン政府は、この件について知らされていなかったとしている。

政府側は、「外部」勢力が閣僚を狙ってペガサスを使用していたとしているが、使用者の具体的な名は挙げていない。カタルーニャの指導者に対する使用については、政府機関による確認はなされていない。

閣僚のスマホがペガサスでハッキングされていたという政府の発表を受けて、なぜ防止できなかったのか、なぜ1年近くも検知されなかったのかという疑問が持ち上がった。政府は10日、グランデマルラスカ内相のスマホからもペガサスが検出されたと公表した。

記者会見でロブレス氏は「明らかに改善を要する事柄がある」と述べるとともに、エステバン氏はカタルーニャの指導者に対する監視が理由で解任されたのではないと否定した。後任のCNI長官には現国防副大臣のエスペランサ・カステレイロ氏が就く。

ペガサス問題でスペインの左派連立政権は失速した。世論調査では、最大野党の右派、国民党が支持率を伸ばし、サンチェス氏の社会労働党に迫っている。

国民党のアルベルト・ヌニェス・フェイホー党首は10日、サンチェス氏はカタルーニャの独立派政党をなだめるためにCNI長官の「首を差し出した」と非難し、「自分の保身のために国を弱体化させている」とした。

だが、カタルーニャ州政府はCNI長官の更迭は問題の解決にならないとしている。「説明が必要だ。誰がスパイ行為を命じ、誰がそれを許し、誰が知っていたのか」と広報官は述べた。

携帯電話がスパイウエアの被害にあったロブレス国防相=ロイター

バレンシア大学のフアン・ロドリゲス・テルエル教授(政治学)は、「サンチェス氏が国防相を追い出すことはできないとわかっているので、(政府は)ERC(独立派政党のカタルーニャ共和左派)が納得できる誰か(の更迭)を差し出そうとしている」と話す。「それが十分かどうかは数日中にわかる」

カタルーニャの政党はこれまで、ロブレス国防相の辞任を求めていた。同氏はサンチェス政権で数少ない穏健派の有権者に人気のある閣僚の1人だ。だがERCのウリオル・ジュンケラス党首は10日、地元紙エル・パイスのインタビューで解任を求める姿勢を後退させた。
連立与党に足並みの乱れ

ペガサス問題を受けて連立政権内の摩擦が高まっている。4月、政府は、ロシアのウクライナ侵攻による影響を緩和するために160億ユーロ(約2兆2000億円)規模の経済対策を打ち出したが、北部バスク地方の分離独立を目指す小政党の支持を得てようやく僅差で可決されたことで、連立与党内の足並みの乱れが明らかになった。

社会労働党と連立を組む急進左派政党ポデモスと、国会内で極めて重要な協力関係にあるERCは、ともにペガサスによる監視について調査するよう求めている。

ERCの支持を失えば、若者や社会的弱者の賃借人を保護するための住宅改革など、今後の法案の成立も難しくなりかねない。労働改革など他の重要施策は承認されている。

エステバン長官の解任は「(社会労働党を)政権の座に押し上げた多数の座を取り戻したいという願望を表している」と指摘するのは、マラガ大学のマヌエル・アリアスマルドナド教授(政治学)だ。

コンサルティング会社テネオのアントニオ・バローゾ調査副部長は、「この問題が政権崩壊につながるほどの重大な政治危機を引き起こす可能性は薄いと思う」と話す。「このところの世論調査での国民党の勢いからして、サンチェス首相が総選挙を前倒しするとは思えない」

By Peter Wise & Ian Mount

(2022年5月11日付 英フィナンシャル・タイムズ電子版 https://www.ft.com/)

(c) The Financial Times Limited 2022. All Rights Reserved. The Nikkei Inc. is solely responsible for providing this translated content and The Financial Times Limited does not accept any liability for the accuracy or quality of the translation.

【関連記事】
・[FT]スペイン首相「EU、対ロシアでエネルギー対策を」
・スペイン首相、カタルーニャ独立派に恩赦 沈静化狙う
・[FT]スペイン 中道右派の国民党党首が政権奪取に意欲
・スペイン3年ぶり新予算へ サンチェス政権で初可決 』

詐欺の技術、SNSで売買 中国から日本を標的か

詐欺の技術、SNSで売買 中国から日本を標的か
https://www.nikkei.com/article/DGXZQOUE051KV0V01C21A2000000/

 ※ オレのところのメールも、9割は「詐欺メール」だ…。

 ※ その中から、「本物」を拾いだして、「分類フォルダ」に「振り分け」する設定にしてある…。

 ※ そうすると、その「本物メール」が、どのフォルダに入ったのか分からなくなったりするんだよ…。

 ※ 昨日も、ある業者さんから、「メール送ったんですが?」「いや、ちょっと見当たらないですね。」というやり取りを、4回も「電話で」行った…。

 ※ 昨今は、「届け出事項」の変更なんかは、全て「オンラインで」行うような流れになっている。

 ※ 「メールのリンクを、たどってくださいね。なお、有効期間は24時間以内です。」とかおっしゃるんだが、その「メール」が探せないのでは、「お手上げ」だ…。

 ※ しかも、プロバイダーの会社自体も、「合併・分離」されるから、強制的に「アドレス」が変更されたりする…。

 ※ そうすると、その「届け出アドレス」の「変更手続き」を、強いられるのは、こっち…、と言うことになる…。

 ※ そういうことで、人生削られて行くんだよ…。

 ※ ヤレヤレだ…。

『偽サイトなどで個人情報を盗む「フィッシング詐欺」の深刻化が止まらない。2021年は確認件数が52万件と最多になり、標的となるクレジットカードの不正利用被害も過去最悪を更新した。背景に、日本人の個人情報から詐欺の技術までを手軽な金額で売買している中国語のSNS(交流サイト)がある。

「今からアカウントに侵入してみせます」。匿名性の高い対話アプリ「テレグラム」のあるチャットグループに投稿された動画をパソコンで再生すると、中国語で解説が始まった。

画面には日本のクレジットカード会社のログインページが表示され、フィッシングで盗まれたとみられる日本人大学生の名前やログインID、パスワードも映る。

投稿者は、発信元となるIPアドレスを偽装するソフトの使い方を紹介した後、大学生のアカウントに不正ログイン。「本人に利用通知が届かないように」などと説明しながら、メールアドレスや電話番号といった登録情報を瞬く間に変更した。
中国語のSNSで日本人を狙ったフィッシングの情報がやり取りされている=一部画像処理しています

最後にカードの利用上限額を勝手に引き上げたうえで、ショッピングサイトでボールペン1本(990円)を購入してみせた。

ネットバンキングの偽サイトを作る方法、不正の発覚の逃れ方――。テレグラムではこうしたフィッシングに関わるチャットが乱立している。調査するKesagataMe氏(ハンドルネーム)によると、100以上の中国語のチャットグループが確認でき「手軽に情報や盗む技術を入手できるマーケットが形成されている」。

通常、チャット内に金額の記載はない。セキュリティー事業を手がけるマクニカの協力を得てチャット管理者のひとりに聞くと、フィッシングに使うSMS(ショートメッセージサービス)を不特定多数に送る技術は「24時間あたり50元(約970円)で提供する」と中国語で回答があった。

偽サイトを作るためのソースコード(プログラム)は「1000元(約2万円)」程度とみられる。

匿名性の高い闇サイト群「ダークウェブ」などと異なり、誰でも参加できるSNSで、手軽な金額で技術や知識が手に入る。閲覧者が3万人規模のグループもあり、ターゲットの日本人のクレジットカードや銀行口座の情報が飛び交う。

国内の被害は拡大の一途だ。監視団体のフィッシング対策協議会(東京・中央)によると、21年の国内の報告件数は52万6504件と、過去最多だった20年(22万4676件)の2倍を超えた。

日本クレジット協会(同)によると、21年のクレジットカードの不正利用被害額は330億円。20年比で3割増え、調査を始めた1997年以降で最悪となった。フィッシングの深刻化が被害額を押し上げている。

なぜ日本が狙われるのか。捜査関係者は発信元などから中国を拠点とする犯罪グループが関与しているとみる。「日本は地理的に近く、盗んだ情報で不正に買い物をする場合、受け取り役も募集しやすい」という。

被害の根絶が難しい中、マクニカの鈴木一実氏は「まずは自衛策が欠かせない」と訴える。▽スマホに届いたSMSのサイトに安易にアクセスしない▽サイト運営者は不正ログインの検知精度を高める▽通信事業者はSMSの悪用を防ぐ技術や対策の導入を進める――など多方面で危機意識を共有する必要があると話す。

(柏木凌真、大倉寛人)

犯罪組織、進む分業 「受け子」リスト化し共有か

中国語のSNSでは、盗んだ情報をもとにネットで不正購入された商品を受け取り、転送する「受け子」の名前や住所もやり取りされている。

あるチャットグループには日本全国の住所リストが掲載され、受け子とみられる日本人や中国人の名前が並んでいた。ホワイトハッカーのCheena氏(ハンドルネーム)は「更新頻度が高く、日本国内に受け取り役を準備するブローカーや換金を担う業者がいる可能性が高い」と分析する。

警視庁が3月、詐欺の疑いで逮捕した中国人留学生2人は、何者かがフィッシングで購入したゲーム機などを受け取り、指示されたマンションに転送していた。調べに「中国の対話アプリ上の受け子バイトを募る広告がきっかけだった」と供述した。

犯罪グループはこうして集めた受け子をリスト化し共有しているとみられる。

こうした犯罪は指示役などグループの上位者が特定されることはほとんどない。捜査関係者は「指示役や換金役、受け子など犯罪組織は何層にも折り重なる複雑な構造で、全容解明は至難の業だ」と漏らす。犯罪の分業化が進み、捜査が追いついていない。』

「ダークサイド」の正体

「ダークサイド」の正体 3つの意味と4重の脅迫
https://www.nikkei.com/article/DGXZQOUC203IC0Q1A520C2000000/

 ※「4階層」に渡って、4回も脅迫されるのか…。

 ※ 全く、ヤレヤレかつウンザリだ…。

 ※ ただ、こう大規模になると、「国家をあげて」反撃されることになる…。

 ※ 「敵」、及び「反撃」も熾烈なものとなるだろう…。

『米石油パイプライン最大手のコロニアル・パイプラインは5月7日(米国時間)、サイバー攻撃により全ての業務が停止したと発表。米連邦捜査局(FBI)は10日(同)、「DarkSide(ダークサイド)」が原因だと発表した。

全米を震え上がらせたダークサイド。その正体は一体何なのか。

サイバー犯罪集団なのか
報道では「サイバー犯罪集団」や「ハッカー集団」の名称として伝えられているダークサイドだが、実際には3つの意味がある。その1つが、サイバー攻撃に使われる「ランサムウエア」の名称だ。

ランサムウエアはコンピューターに保存されたデータを暗号化して使用不能にするマルウエア(悪意のあるプログラム)。データを暗号化した後、元に戻したければ金銭(身代金)を支払うよう画面に表示する。

セキュリティー企業の米インテル471などによると、ダークサイドは2020年8月に初めて確認された。比較的新しいランサムウエアだ。オーストリアのエムシソフトなどによると、ダークサイドは身代金として20万ドルから200万ドルを暗号資産(仮想通貨)で要求する。

またダークサイドは、ダークサイドランサムウエアを使った攻撃を支援する「商用」のクラウドサービスを指す場合もある。ランサムウエア攻撃のクラウドサービスなので「RaaS(ランサムウエア・アズ・ア・サービス)」と呼ばれる。これが2番目の意味だ。

米ファイア・アイなどによれば、RaaSとしてのダークサイドは20年11月、ロシア語のアンダーグラウンドフォーラム「exploit.in」や「XSS」で初めて宣伝された。

RaaSを使用するのはもちろんサイバー攻撃者だ。ある企業ネットワークへの侵入方法を知った攻撃者が、ランサムウエア攻撃を仕掛けたいと考えたとする。しかし自分でランサムウエアを調達したり、脅迫したりするのはハードルが高い。そういった場合、RaaSを利用して該当企業にランサムウエア攻撃を仕掛ける。

RaaSを利用する攻撃者はアフィリエイトやアフィリエイターなどと呼ばれる。セキュリティー企業各社の情報によると、ダークサイドの取り分は身代金の10%から25%。ファイア・アイが確認した広告によると、身代金が50万ドル未満の場合は25%、500万ドルを超える身代金に対しては10%だ。

ファイア・アイによれば、アフィリエイトになるには「面接」に合格する必要がある。面接がどういったものなのかについては言及していない。合格すると、RaaSの管理パネルへのアクセス権が提供される。

ダークサイドRaaSの管理パネル(出所:ファイア・アイ)
3番目の意味が、ダークサイドRaaSを運営する攻撃者グループだ。多くの報道では、この意味で「ダークサイド」を使っているようだ。

これらを区別するために、ランサムウエアの「ダークサイドランサムウエア」、RaaSの「ダークサイドRaaS」、攻撃者グループの「ダークサイド攻撃者グループ」などと表記する場合がある。例えばFBIは声明の中で「ダークサイドランサムウエア」と表記している。

ちなみに20年11月に活動停止を表明したMAZE(メイズ)も、ランサムウエア、RaaS、攻撃者グループのそれぞれの意味で使われていた。

DDoS攻撃や脅迫電話の機能も
ほかのRaaSと同様に、ダークサイドRaaSも暴露型ランサムウエア攻撃(2重脅迫型ランサムウエア攻撃)に対応している。

まずはデータを盗み出してからランサムウエアで暗号化する。身代金を支払わないと復号ツールを渡さないばかりか、盗んだデータを公表すると脅す。公表の舞台となるのは、匿名性の高い闇サイト群「ダークウェブ」に用意したダークサイド攻撃者グループのウェブサイトだ。

だが、こうした通常のサービスだけではアフィリエイトを引き付けられない。ほかのクラウドサービスと同様に、RaaSも利用者を増やすのが最重要課題だ。そこでダークサイドRaaSは21年3月から4月にかけて機能を拡張した。

トレンドマイクロやインテル471などによれば、身代金の支払いに応じない企業に大量のデータを送りつけるDDoS攻撃の機能を追加した。

さらにコールセンターから脅迫電話をかける機能も実装した。ダークサイドRaaSの管理パネルから、身代金を支払うよう企業に圧力をかける電話を手配できるという。

つまり、4重の脅迫機能を備えるのだ。

「義賊」を気取る謎の寄付
今回の事件で広く知られたダークサイド攻撃者グループだが、20年10月にもメディアに取り上げられている。ランサムウエア攻撃で奪い取った金銭を2つの慈善団体に寄付したのだ。1万ドル相当のビットコインを寄付したとされる。

エムシソフトによるとこの寄付の後、ダークサイド攻撃者グループはウェブサイトに次のような投稿をした。「企業が支払った金銭の一部が慈善団体に寄付されるのは公平だと思う。私たちの仕事がどんなに悪いとしても、私たちが誰かの人生を変える手助けをしたことを知ってうれしく思う」

寄付された団体としてはいい迷惑だったようだ。当時の報道によれば、ある団体は寄付に対する謝辞をSNS(交流サイト)に投稿したが、ダークサイドの正体が分かるとすぐに削除した。

またダークサイド攻撃者グループが出した広告によると、攻撃対象は大企業だけで、医療機関、葬儀に関係する企業・組織、教育機関、公共部門、非営利団体などへは攻撃しないとしている。加えて攻撃対象を潰すことが目的ではないので、詳細に調査したうえで、攻撃対象が支払える額を請求するという。

義賊を気取るこの手口。前述のメイズを思い出した。メイズも新型コロナウイルス禍の医療機関は狙わないと宣言していた。

ダークサイドへの捜査はどうなるのか。今後の展開が注目される中、ダークサイド攻撃者グループは5月13日(米国時間)に活動を停止すると発表した。

それによると、ウェブサイトなどは全て押収されてアクセスできなくなり、資金は不明なアカウントに送信されてしまった。

突然の活動停止もメイズとそっくりだ。だがメイズもダークサイドも自分たちで言っているだけである。名前や体裁を変えて活動を再開する可能性は極めて高い。メイズの場合には既に再開しているとの情報もある。ランサムウエア攻撃に対しては引き続き警戒が必要だ。

(日経クロステック/日経NETWORK 勝村幸博)

[日経クロステック2021年5月19日付の記事を再構成]』

ランサムウエア、取り分不満の攻撃者が「虎の巻」流出

ランサムウエア、取り分不満の攻撃者が「虎の巻」流出
https://www.nikkei.com/article/DGXZQOUC263860W1A820C2000000/

 ※ 『「RaaS(ランサムウエア・アズ・ア・サービス)」』とか、ヤレヤレかつウンザリな話しだ…。

 ※ しかも、「取り分」巡る「なかま割れ」で、仲間の「攻撃虎の巻」を流出させたんだと…。

 ※ 全く、「仁義」も「信頼」も、へったくれも無い話しだ…。

 ※ まあ、最初から、そういう「人間性」とは「無縁」の、「修羅の世界」での話しなんだろうが…。

『世界中でランサムウエア(身代金要求型ウイルス)攻撃の被害が相次いでいる。理由の1つが「RaaS(ランサムウエア・アズ・ア・サービス)」の存在である。RaaSはランサムウエア攻撃を支援するクラウドサービス。RaaSを利用すれば、手間をかけずにランサムウエア攻撃を仕掛けられる。

2021年8月、このRaaSを巡ってある事件が発生した。大手RaaSが利用者に提供している攻撃マニュアルが流出したのだ。「虎の巻」といえる資料だ。ロシア語のアンダーグラウンドフォーラム「XSS.is」においてダウンロードできる状態になっていた。

RaaSの「虎の巻」へのリンクが張られた投稿。現在ではダウンロードできない(画像は一部修整 出所:XSS.is)

一体誰が、どのような理由で流出させたのだろうか。

RaaS、脅迫のプラットフォーム提供

ランサムウエアはコンピューターに保存されたデータを暗号化して使用不能にするマルウエア(悪意のあるプログラム)の総称。データを暗号化した後、元に戻したければ金銭(身代金)を支払うよう画面に表示する。

ランサムウエアのイメージ(出所:日経NETWORK)

数年前までは、ランサムウエア攻撃は単純だった。メールやネットワーク経由で不特定多数のコンピューターにランサムウエアを感染させていた。身代金は数万円程度と、個人でも払える額が設定されていた。いわば、薄く広く稼ぐ戦略だった。

ところが20年前後から戦略が大きく変わった。多額の身代金を支払える企業や組織を狙う標的型になった。データを暗号化されると業務を継続できなくなる。このため多額であっても身代金を支払うだろうと攻撃者は考えた。

これに対抗するため、バックアップの重要性が以前にも増して高まった。バックアップを取っていれば、データを暗号化されても復旧できる。ランサムウエア対策としてデータバックアップの体制を整えた組織は多いだろう。

そこで攻撃者が打った次の手がデータの窃取である。暗号化する前にデータを盗み出すのだ。身代金を払わないとデータの復号に必要なツールや情報を渡さないばかりか、そのデータを公開すると脅す。いわゆる暴露型ランサムウエア攻撃である。2重脅迫型ランサムウエア攻撃などとも呼ばれる。

ランサムウエア攻撃者グループ「MAZE(メイズ)」が窃取データを公開していたウェブサイト(画像は一部修整 出所:MAZE)

まずは盗んだデータの一部を公開して、身代金を払わないと全データを公表すると脅す手口もある。

大がかりになる一方のランサムウエア攻撃。もはや個人では実施できなくなっている。例えば、ある企業・組織のネットワークへの侵入方法を知っている攻撃者であっても、セキュリティー製品に検知されないランサムウエアや、窃取したデータを暴露する場を用意するのは容易ではない。

そこで登場したのがRaaSだ。RaaSはランサムウエアを単に貸し出すだけではなく、脅迫のプラットフォームも用意する。例えば、米石油パイプライン最大手のコロニアル・パイプラインの攻撃に使われたRaaSは4重の脅迫機能を備えていた。

【関連記事】「ダークサイド」の正体 3つの意味と4重の脅迫
具体的には、盗んだデータを公表する場や、データを暗号化するランサムウエアを利用者となる攻撃者に提供。さらに大量のデータを送信するDDoS攻撃を仕掛けたり、脅迫電話をかけたりする機能も提供する。

利用者は、RaaSが用意する管理パネルから様々な機能を利用できる。身代金の支払先もRaaSが用意する。このため身代金の支払い状況も管理パネルで確認できる。至れり尽くせりといえるだろう。

ランサムウエア攻撃者グループ「Darkside(ダークサイド)」が運営していたRaaSの管理パネル(出所:米ファイアアイ)

RaaSの利用者はアフィリエイトやアフィリエイターなどと呼ばれる。アフィリエイトが実際の攻撃を担当。RaaSはそのためのプラットフォームを提供する。

多くの場合、RaaSの料金は成功報酬型だ。RaaSは支払われた身代金の10%から30%を受け取り、残りはアフィリエイトが受け取る。

アフィリエイトとRaaSを運営するランサムウエア攻撃者グループは、ランサムウエア攻撃という犯罪の共犯者であり、両者にはある種の信頼関係が構築されているものと思っていた。

だが所詮犯罪者。信頼関係などないようだ。前段が長くなってしまったが、冒頭の虎の巻を流出させたのはアフィリエイトの1人だった。理由は身代金の取り分に対する不満だった。

「1500ドルしか支払わなかった」
RaaSを運営するランサムウエア攻撃者グループによっては、ネットワークへの侵入やネットワーク内での展開(ラテラルムーブメント)に関するマニュアル(虎の巻)をアフィリエイトに提供している。ランサムウエア攻撃の成功率を高めるためだ。

今回流出したのは、「Conti(コンティ)」というランサムウエア攻撃者グループが運営するRaaSの虎の巻だ。

虎の巻を流出させたアフィリエイトの投稿によると、Contiはアフィリエイトに1500ドルしか支払わなかったという。約束の金額がいくらだったのかは明記されていないが、書き込みの内容からすると大きな差があったとみられる。

アフィリエイトによる投稿(画像は一部修整 出所:XSS.is)

アフィリエイトは「やつらはアフィリエイトを『カモ』にしている」などとContiを罵るとともに、攻撃サーバーのIPアドレスなどが写り込んだ画像を公開。その後、虎の巻をストレージサービスにアップロードして、そのURLを投稿した。記事の冒頭で書いた通りである。

報道などによれば、流出したファイルは113メガバイトの圧縮ファイル(メディアによっては「111メガバイト」としている)。圧縮ファイルには37のファイルが含まれていて、それらにはネットワークへの侵入やラテラルムーブメントの際に有用なツールの使い方などが書かれているという。

内容のほとんどは以前から使われている基本的な手口で画期的ではないものの、Conti対策には役立つだろうというのが専門家の見立てだ。Contiとしては、戦術の一部を変更せざるを得ないだろう。

「Contiが約束を守らなかった」というのはアフィリエイトの一方的な主張だが、信ぴょう性は高い。このようなウソを言っても何の得にもならないからだ。「Contiが裏切ったからこちらも裏切る」と考えたとみるのが妥当だ。もはや仁義なき戦いである。

なかなか衝撃的な今回の事件。これによってアフィリエイトに対するランサムウエア攻撃者グループの態度は変わるだろうか。筆者としては変わってほしくない。アフィリエイトの怒りを募らせるようなことが続けば、アフィリエイトからの「密告」が期待できるからだ。

その受け皿の1つになり得るのが、米国務省が21年7月に発表した報奨金制度だ。同国の重要インフラを標的としたサイバー攻撃に限定されるが、有用な情報には最大1000万ドル(約11億円)の報奨金を支払う。

「怒ったアフィリエイトによる重要情報のリークにより、ランサムウエア攻撃者グループが特定されて壊滅させられる」というのが期待されるシナリオだ。

(日経クロステック/日経NETWORK 勝村幸博)

[日経クロステック2021年8月25日付の記事を再構成] 』

監視ソフトのリストに仏、南ア首脳の電話番号

監視ソフトのリストに仏、南ア首脳の電話番号 欧米報道
https://www.nikkei.com/article/DGXZQOGR2103A0R20C21A7000000/

『【ニューヨーク=中山修志、パリ=白石透冴】米紙ワシントン・ポストなど欧米メディアは20日、イスラエルのサイバー企業NSOグループの犯罪監視用ソフト「ペガサス」の標的になっていた可能性のある電話番号のリストに、マクロン仏大統領ら各国首脳・元首脳14人のものが含まれていたと報じた。ペガサスについて犯罪やテロ防止を目的とした利用以外は認めないという同社の説明と食い違う。

ワシントン・ポストなど十数社の報道機関からなる国際調査報道チームが、ペガサスの顧客から流出したとされる5万人以上の電話番号を分析した。番号が確認されたのはマクロン氏のほか、イラクのサレハ大統領、南アフリカのラマポーザ大統領、パキスタンのカーン首相ら。これらの番号のスマートフォンがペガサスに感染して監視下にあったかは確認できていない。

調査報道チームはインドやメキシコ、サウジアラビアやアラブ首長国連邦(UAE)など少なくとも10カ国・地域がNSOの顧客だった証拠をつかんだとしている。リストには180人を超えるジャーナリストのほか、政府関係者や企業経営者、宗教家、非政府組織(NGO)の活動家らが含まれる。

仏紙ルモンドなどの報道によると、モロッコの情報機関が「ペガサス」を使い、マクロン大統領ら仏政府幹部10人以上を狙っていた疑いがある。ソフトはスマートフォンから情報を抜き出すことができるが、漏洩が起きたかは分かっていない。

情報機関が2019年に狙ったとされる電話番号の中に、マクロン氏、ルドリアン外相、ルメール経済・財務相、ドルジ元環境相などのスマホの番号が含まれていた。ドルジ氏が自身のスマホを分析に出したところ、情報漏洩はなかったがソフトが攻撃を試みた形跡があったという。

仏大統領府関係者は「もし事実なら深刻だ。報道の事実関係を調べる」などと語った。モロッコ側はペガサスを使ったことはないと主張しているという。』

イスラエル製監視ソフト、記者のスマホに悪用

イスラエル製監視ソフト、記者のスマホに悪用 海外報道
https://www.nikkei.com/article/DGXZQOGN190MG0Z10C21A7000000/

 ※ 『十数社の報道機関からなる調査報道チームはNSOのハッキング用スパイウエア「Pegasus(ペガサス)」の顧客らが集め、外部に流出したとされる5万件以上の電話番号を分析した。「iPhone」や「Android(アンドロイド)」搭載スマホがペガサスに感染すると、攻撃者側から通話や電子メール、端末に保存された写真の傍受などが可能になるという。』とか、こえー話しだ…。

 ※ いずれ、こういうスパイウエアは、西側・東側双方で開発され、全世界のデバイスに感染しまっくているんだろう…。

 ※ 「iPhone」も、「Android」も、Linuxカーネルだから、同根だ…。

 ※ 大体、「オープンソース」なんてものは、「腕に覚えがあるハッカー(いい意味での)」が、寄ってたかって作ったものだから、「でき上がったもの」に「最終責任を負う者」なんてのは、最初から存在せんのだ…。

『【シリコンバレー=白石武志】イスラエルに本社を置くNSOグループが開発した犯罪監視用のスパイウエアが中東などの政府に販売され、世界各地のジャーナリストや人権活動家らのスマートフォンのハッキングに使われていたことが18日、米紙ワシントン・ポストなどの調査報道で明らかになった。2018年に殺害されたサウジアラビア人記者、ジャマル・カショギ氏の近親者らのスマホも標的となっていたという。

十数社の報道機関からなる調査報道チームはNSOのハッキング用スパイウエア「Pegasus(ペガサス)」の顧客らが集め、外部に流出したとされる5万件以上の電話番号を分析した。「iPhone」や「Android(アンドロイド)」搭載スマホがペガサスに感染すると、攻撃者側から通話や電子メール、端末に保存された写真の傍受などが可能になるという。

リストには米ニューヨーク・タイムズや米ウォール・ストリート・ジャーナル、英フィナンシャル・タイムズ、仏ルモンド、中東のアルジャズィーラなどに所属する180人超のジャーナリストの電話番号が掲載されていたという。政府関係者や企業経営者、宗教家、非政府組織(NGO)活動家らも含まれていた。

リストに電話番号が含まれていても、そのスマホがペガサスに感染していたかどうかは分からないという。調査報道チームがリストに電話番号が記載されていた少数のスマホを分析したところ、半数以上でペガサスがハッキングに成功したり、侵入を試みたりした形跡があることが判明した。

調査報道チームが専門家と組んだ分析では、カショギ氏に最も近い2人の女性がペガサスを使った攻撃の標的になっていた証拠が見つかったという。カショギ氏の殺害の数日後に婚約者の携帯電話がペガサスに感染していたほか、殺害される数カ月前には同氏の妻の携帯電話もペガサスに狙われていた。

NSOは自社の顧客を明らかにしていないが、ペガサスの販売にあたってはイスラエル政府の輸出許可が必要になるという。調査報道チームはアゼルバイジャンやバーレーン、ハンガリー、インド、カザフスタン、メキシコなど少なくとも10カ国・地域がNSOの顧客だった証拠を見つけたとしている。

NSOは18日に公表した声明の中で、今回の調査報道について「間違った仮定や裏付けのない理論に満ちている」と指摘し、名誉毀損での訴訟を検討していると述べた。同社の技術は犯罪捜査や人命救助に使われているといい、カショギ氏の殺害についても「当社の技術は一切関係ない」としている。

米国家安全保障局(NSA)の職員だったエドワード・スノーデン氏が13年に米国政府などによる個人情報収集を暴露した事件は、世界に衝撃を与えた。米国の大規模な情報監視活動に触発され、多くの国家情報機関がスパイウエアを使った監視能力の強化に乗り出したとされる。

その後、グーグルやアップルなどの米IT(情報技術)大手はスマホの暗号化技術を強化しており、従来の技術では通信の傍受は難しくなったとされる。その結果、ペガサスのような影響力のある人物らのスマホを狙ったスパイウエアへの投資が拡大している。

調査報道の根拠となった流出データの分析ではパリを拠点とする非営利団体「フォービドゥン・ストーリーズ」が、ペガサスに感染したスマホの分析は国際人権団体アムネスティ・インターナショナルが中心となった。調査報道にはワシントン・ポストや英ガーディアンなどが加わった。

多様な観点からニュースを考える
※掲載される投稿は投稿者個人の見解であり、日本経済新聞社の見解ではありません。

池内恵のアバター
池内恵
東京大学先端科学技術研究センター 教授

コメントメニュー
分析・考察 イスラエルのサイバーテクノロジーは防御だけでなく攻撃能力も高い。そもそもサイバーディフェンスはオフェンスなしでは成り立たない、と公然と認める人たちが多い。イスラエルのNSOグループのハッキング・ソフト「ペガサス」については、外国政府に技術・サービスが供与されて抑圧的な政権による国民弾圧に使われているという疑惑が以前から報じられていた。代表的なのは2019年5月14日のフィナンシャル・タイムズの報道。これまでの報道に関わっていた記者を含んだNGOが、より深く包括的にこの問題を追った報告書が発表された。イスラエルの外交力は、情報セキュリティ分野で依存関係を作ることにも支えられている。
2021年7月19日 20:29いいね
27

石倉洋子のアバター
石倉洋子
一橋大学 名誉教授

コメントメニュー
ひとこと解説 この報道を見て、早速テルアビブの友人に聞いて見たところ、一面に出ているわけではないが、このソフトについては、かなり前から色々疑惑があったとのことです。それでどんな影響が実際にあったのか、具体的な事件への関与まではわかりませんが。
2021年7月19日 21:04いいね
9 』

Katy LEE 記者による2021-7-19記事「Pegasus spyware: how does it work?」。
https://st2019.site/?p=17180

『どうやら世界中の政府が、イスラエル開発のスパイウェア「ペガサス」をありがたく採用し、反政府系の不審人物の監視に役立てていた――とわかってしまった。

 そもそも、まずいったいどうやってそんな「監視ソフト」をまんまとターゲット人物のスマホに潜り込ませるのだろうか?
 2016年頃だと、テキスト・メッセージにリンク先を表示して、そのリンクを踏ませる必要があった。
 しかしさすがにそんな手口には相手はすぐにひっかからなくなる。
 そこで、イスラエルの「NSOグループ」という会社が新技法を編み出したのである。

 「ワッツアップ」というメッセージングサービスアプリの脆弱性につけこむ方法だった。スマホに「ワッツアップ」を入れているユーザーならば、簡単に、「ペガサス」も仕込まれてしまう。本人がまったく知らぬうちに。

 すなわち政府機関は、ワッツアップ経由でターゲットのスマホに電話をかけるだけ。なんと、本人がそれに応答しなくても、「ペガサス」はそいつのスマホに滑り込み、こっそりと定着してしまう。

 2019年にワッツアップはこれに気付き、NSOを告訴した。1400人がスパイウェアを仕込まれたという。

 その後、NSO社は、アップル製の「iメッセージ」を使っているスマホに対しても、同様に「ペガサス」を送り込めるようになった。ユーザーは、クリックひとつ、するまでもなく、これにやられてしまう。

 「ペガサス」を埋め込まれたスマホは、政府機関によって、監視し放題になる。すべての通話・通信・位置情報が、筒抜けだ。テロ予防の担当者としては、まことに便利。

 スマホユーザーが収集し記録している写真や動画や音声も、仔細に確認が可能である。

 げんざい、わかっているだけでも全世界で5万人が、「ペガサス」を埋め込まれた。しかしこのマルウェアは非常に気付かれ難い挙動なので、知らずに使い続けている者もきっと多いであろう。

 アムネスティ・インターナショナルのセキュリティ研究所によると、今月、「アイホン」に関しては「ペガサス」の埋め込みの試みを見破れるソフトができるそうである。
 だが、すでに埋め込まれている人の場合は、検知は難しい。

 このマルウェアは、常駐を確かめることすら困難なので、「除去」ができたかどうか、確かめるすべも無い。
 隠れている場所は、スマホのハードウェアであることもあるのだそうだ。バージョンによって違いもあるという。

 もしメモリー内に隠れているのならば、スマホの電源を完全に切って、また電源を入れなおす(リブート)すれば、マルウェアは消えるはずだという。理論上は。
 したがって、秘密を多く抱えている企業幹部や政治家たちは、スマホをスリープさせるのではなく、頻繁に、リブートすることが推奨されるのである。』

マカフィー創業者が死亡

マカフィー創業者が死亡 スペイン拘置所で自殺か
https://www.nikkei.com/article/DGXZQOGN2403R0U1A620C2000000/

『【ニューヨーク=野村優子】米サイバー対策大手マカフィー創業者のジョン・マカフィー被告(75)が23日、スペインの拘置所で死亡しているのが見つかった。スペイン紙エル・ムンドなどが報じた。自殺とみられている。同被告は米国で脱税の罪で起訴されており、スペインの裁判所は同日朝、米国への身柄引き渡しを承認していた。

ロイター通信は同被告の弁護士の話として、独房で首をつって自殺したと報じている。マカフィー被告は米当局に脱税の疑いで国際指名手配され、昨年10月にバルセロナの空港からイスタンブールに向かう便に乗ろうとしていたところを拘束された。所得を第三者名義の暗号資産(仮想通貨)として隠し、納税を免れたといった疑いがあった。

同被告はマカフィーでの成功の後、仮想通貨の宣伝、コンサルタント業務などで稼いでいたという。2016年、米大統領選に出馬すると表明して注目を集めたこともある。』

米大統領選、中ロが大規模サイバー攻撃 Microsoftが警告

https://www.nikkei.com/article/DGXMZO63717130R10C20A9000000/

『【シリコンバレー=佐藤浩実】11月の米大統領選が迫るなか、ロシアなど外国勢力によるサイバー攻撃の懸念が強まっている。米マイクロソフトが10日に公表した報告書によると、ロシアのハッカー集団は過去2週間で政党や支援団体など28の組織に攻撃を試みた。中国やイランからの攻撃も続いており、同社は多要素認証などでの防御を呼びかけている。

国家の関与が疑われるサイバー攻撃の動向を調べた。ロシアのハッカー集団「ストロンチウム」は2019年9月~20年6月にかけて200以上の組織を攻撃。8月18日~9月3日の2週間では28組織に属する6912アカウントのハッキングを試みた。「攻撃はいずれも成功していない」(マイクロソフト)という。

【関連記事】
米、大統領選干渉でウクライナ議員に制裁 ロシアの手先

ストロンチウムは選挙関係者のアカウント情報を得るため、考えられるパスワードを総当たりで試す「ブルートフォース攻撃」と、複数のアカウントに対して同時に1つのパスワードを試す「パスワードスプレー攻撃」をしかけた。16年の大統領選では特定の標的から情報を奪う「スピアフィッシング」が主流だったが、攻撃はより大規模化している。

中国のハッカー集団「ジルコニウム」も大統領選に関わる情報を手に入れようと攻撃を続けている。3~9月に検知した攻撃は数千件に上り、150件近い情報漏洩が発生した。失敗に終わったものの、民主党のバイデン前副大統領の関係者を対象にした攻撃もあったという。イランの「フォスフォラス」は5~6月にかけてトランプ大統領の選挙活動に関わるスタッフのアカウントへの侵入を試みた。

選挙のような国家の動向を左右する大型イベントでは、サイバー攻撃が活発化しやすい。マイクロソフトはパスワードと生体認証などを組み合わせる「多要素認証」を徹底するなどして、攻撃を回避するよう呼びかけている。同社はセキュリティー関連の事業を手掛けており、サイバー攻撃についても不定期で報告書を出している。』

延べ900社の顧客情報流出か 多要素認証を無効化される

https://xtech.nikkei.com/atcl/nxt/mag/nc/18/020600011/080700061/

※「ゼロトラスト」で、認証発行の山、「多要素認証」で防御しようとしても、この有様だ…。

※ もっとも、「閉鎖予定の拠点」の「防御体制」が脆弱で、そこを突かれた…、という事情もあるようだ…。

『NTTコミュニケーションズに対する2つのサイバー攻撃が明らかとなった。延べ約900社・組織の顧客情報が外部に流出した可能性がある。撤去予定だった海外の運用サーバーの「隙」を突かれた。後日、社員になりすました不正アクセスも判明した。攻撃者は端末の多要素認証を無効化し、社内システムに入り込んでいた。

 「まさか日本のセキュリティー業界のリーダーであるNTTコミュニケーションズが被害を受けるとは」。サイバーセキュリティーに詳しい業界関係者は口をそろえる。

 NTTコムは2020年5月28日、サーバーなどの自社設備がサイバー攻撃を受け、顧客情報が外部に流出した可能性があると発表した。7月2日には、社員になりすました攻撃者から不正アクセスを受け、顧客情報の流出範囲が拡大した恐れがあることも公表した。

 一連の攻撃により、防衛省や海上保安庁、厚生労働省など単純合算で延べ約900社・組織の通信関連工事情報が外部に流出した可能性がある。河野太郎防衛大臣は2020年5月29日の閣議後記者会見で、不正アクセスの報告を受けたと明らかにしたうえで「しっかり調査していただきたい」と要請した。監督官庁の総務省幹部も「現状把握と顧客対応をしっかりやってほしい」とくぎを刺す。

撤去予定の海外サーバーに「隙」
 社内調査により、攻撃者の侵入経路は2通りあったことが判明している。

 1つが顧客向けサービスの監視や障害の切り分けなどを担うシンガポールの運用サーバーを踏み台としたルートだ。攻撃者は2019年9月ごろに同サーバーに侵入。その後、タイなど複数の海外拠点を経由し、2019年12月に法人向けクラウドサービス「Bizホスティング エンタープライズ(BHE、2018年3月にサービスの提供を終了)」と「Enterprise Cloudオプションサービス」の運用サーバーに入り込んでいた。ここを足掛かりに法人向けクラウドの工事情報管理サーバーのほか、社内セグメントのアクティブディレクトリー(AD)運用サーバーや社内ファイルサーバーへと触手を伸ばしていた。

 NTTコムは2020年5月7日、社内セグメントのADサーバーに対する不正な遠隔操作を試みたログを検知した。遠隔操作の踏み台になった同セグメントのAD運用サーバーを同日中に緊急停止し、社内調査を進めた。その後、AD運用サーバーのアクセス元だった法人向けクラウドの運用サーバーを停止したり、マルウエアによる外部サイトとの通信を遮断したりした。

 実は、最初に侵入を許したシンガポールの運用サーバーは撤去予定だった。同サーバーを収容するデータセンターが老朽化し、2019年10月に新データセンターへの移転を計画していた。同サーバーも新しいものに切り替わる予定だった。まさに撤去直前のタイミングを攻撃者に突かれた。

 同サーバーは撤去を間近に控えていたこともあり、セキュリティー上の脅威を検出するEDR(Endpoint Detection and Response)を導入できていなかった。NTTリミテッド・ジャパンの飯田健一郎社長は「もっと対策の感度を上げておくべきだった」と悔やむ。

 攻撃者がどういった脆弱性を突いてシンガポールの運用サーバーに侵入したかについては「継続調査を実施したが、機器の撤去でログを確認できないため、原因を特定できなかった」(NTTコム)と説明する。』

『社員になりすまし
 もう1つは日本にあるVDI(仮想デスクトップ基盤)サーバー経由だ。シンガポールの運用サーバーを踏み台にした不正アクセスを調査する過程で、複数の社員が勤務日以外に社内のファイルサーバーにアクセスしていることを2020年5月25日に突き止めた。翌26日にはファイルサーバーのアクセス元がすべてVDIサーバーだったことが判明。さらに27日、何者かが社員になりすましてVDIサーバーにログインしていた事実を確認した。

 NTTコムは社員がVDIサーバーにログインする際、IDとパスワードとは別に、ランダムに並んだ数字の表を使う「マトリクス認証」を導入していた。同社の久野誠史デジタル改革推進部情報システム部門担当部長は「攻撃者は特殊な方法でVDIサーバーに接続していた」と打ち明ける。

 特殊な方法とは、マトリクス認証を無効化し、主にIDとパスワードだけでVDIサーバーにログインできるというものだ。久野担当部長は「我々も認識していなかったVDI全体の抜け道があった。攻撃者はちょっとした(システム上の)『穴』をいくつも組み合わせていた」と語る。

 攻撃者はこの抜け道を見つけ出し、不正入手した社員のIDとパスワードを使って自身の端末でVDIサーバーの認証を突破していた。しかもNTTコムはVDIサーバーへの接続時に端末のウイルス対策ソフトの種類やバージョンもチェックしていたが、攻撃者はこれらも把握し、インストールしたうえで侵入していた。2020年8月6日時点で社員のIDとパスワードの流出経路は判明していないが、社内セグメントのADサーバーからは流出していないことを確認している。

 NTTコムは緊急対応を既に済ませ、2020年5月26日時点でVDI全体の利用を停止した。翌27日に全社員のパスワードも強制リセットした。同社によると、27日以降、不正ログインがないことを確認できているという。

 ルートが異なる2つの不正アクセスに関連はあるのか。NTTコムの小山覚情報セキュリティ部部長は「(攻撃者が同一かどうかは)何とも言えない。攻撃元のアトリビューション(特定)は実施していない」と話す。ただ、どちらも「サイバー攻撃の専門集団」(同社)としている。

 あるサイバーセキュリティーの専門家は「同一の攻撃主体ではないか」としたうえで、「攻撃の途中でユーザーの認証情報を入手し、VDIサーバー経由の接続に切り替えたのではないか。正当なアカウントとパスワードを使ったアクセスのほうがより隠密な行動ができるからだ」と分析する。実際、攻撃者は日勤の時間帯しか動かず、「ばれないようにひっそりと活動していた」(久野担当部長)。攻撃者はメール送信といった目立つ行動も控えていた。

 別のサイバーセキュリティーの専門家は「BlackTechによる攻撃の可能性がある」と指摘する。BlackTechとは、中国政府との関係が噂されるサイバー攻撃集団だ。既に明らかとなっている三菱電機に対するサイバー攻撃にも関与したとされる。BlackTechの攻撃の特徴は「海外拠点の通信機器の脆弱性を利用する」(同)点にあり、特に情報通信や製造業、学術機関が狙われる傾向にある。

UEBAやEDRを導入
 NTTコムは再発防止を急いでいる。まず社員の正当なIDとパスワードを使った「なりすまし攻撃」により、影響範囲の特定に時間がかかった反省から、攻撃者の振る舞いを細かく把握できる「UEBA(Userand Entity Behavior Analytics)」を2021年3月までに本格導入する計画だ。EDRも2020年秋までに、サーバーも含めて全端末への導入を終える。

 サイバー攻撃の動向や企業のセキュリティー対策に詳しいラックの西本逸郎社長は「被害範囲の特定や封じ込めにEDRは有効だ」と語る。パソコンなどのログを詳細に洗い出す「フォレンジック」には、パソコン1台当たり2週間かかるケースもある。「EDRを導入すれば、こうした時間を大幅に短縮できる」(西本社長)。

 NTTコムはセキュリティー対策の有効性を検証する「Red Team」の人員拡充も検討する。社内のITやOT(制御技術)システムに対して、疑似的なサイバー攻撃を仕掛け、対策の実効性を評価する「TLPT(Threat Led Penetration Test)」のプランを策定し、それに合わせるような形で、Red Teamの体制の詳細を詰める。「今後は撤去予定の設備に対するセキュリティー対策も徹底する」(小山部長)。

 NTTコムで判明した今回のサイバー攻撃は多くの企業にとって対岸の火事ではない。新型コロナウイルスの流行により、企業はいや応なく在宅勤務の拡充などを迫られている。そんな中で、利用範囲が拡大するIT機器のセキュリティー水準をどう担保するか。早急に対策が求められる。』

7月の最も望まれるマルウェア:Emotetが5か月の不在後に再び攻撃

(グーグル翻訳文)7月の最も望まれる(※「Wanted」だ…。お尋ね者の…、という感じだろう)マルウェア:Emotetが5か月の不在後に再び攻撃
https://blog.checkpoint.com/2020/08/07/julys-most-wanted-malware-emotet-strikes-again-after-five-month-absence/

『Check Point Researchは、銀行の認証情報を盗み、ターゲットネットワーク内に拡散することを目的とした、非活動期間後のEmotetボットネット拡散スパムキャンペーンの急激な増加を発見しました

2020年7月の最新のグローバル脅威インデックスは、5か月の不在の後、Emotetがインデックスの1位に急上昇し、世界の5%の組織に影響を与えていることを明らかにしました。

2020年2月以降、Emotetの活動(主にマルスパムキャンペーンの波を送る)は鈍化し始め、7月に再び出現するまで最終的には停止しました。このパターンは、Emotetボットネットが夏季に活動を停止したが、9月に再開した2019年に観察されました。

7月、Emotetはマルスパムキャンペーンを広め、被害者にTrickBotとQbotを感染させました。これらは、銀行の資格情報を盗んだり、ネットワーク内に広まったりするために使用されています。一部のマルスパムキャンペーンには、「form.doc」や「invoice.doc」のような名前の悪意のあるdocファイルが含まれていました。研究者によると、悪意のあるドキュメントはPowerShellを起動して、リモートのWebサイトからEmotetバイナリをプルし、マシンに感染してボットネットに追加します。Emotetの活動の再開は、ボットネットの規模と能力を世界的に強調しています。

Emotetが今年の数か月間休止していて、2019年に最初に確認されたパターンCheck Pointを繰り返したのは興味深いことです。CheckPointの研究者は、ボットネットの背後にいる開発者が機能と機能を更新していると想定しています。しかし、それは再びアクティブになるため、組織はこれらの脅威を運ぶマルスパムのタイプを特定する方法について従業員を教育し、電子メールの添付ファイルを開いたり、外部ソースからのリンクをクリックしたりするリスクについて警告する必要があります。企業は、そのようなコンテンツがエンドユーザーに到達するのを防ぐことができるマルウェア対策ソリューションの展開も検討する必要があります。

調査チームはまた、「MVPower DVRリモートコード実行」が最も一般的に悪用される脆弱性であり、世界の44%の組織に影響を及ぼし、次に「OpenSSL TLS DTLSハートビート情報開示」が世界中の42%の組織に影響を与えると警告しています。「HTTPペイロードを介したコマンドインジェクション」は3位で、世界的な影響は38%です。

上位のマルウェアファミリ

*矢印は、前月と比較したランクの変化に関連しています。

今月、Emotetは最も人気のあるマルウェアであり、組織の5%が世界的に影響を及ぼし、続いてDridexとAgent Teslaがそれぞれ4%の組織に影響を及ぼしています。

1、↑Emotet – Emotetは高度な自己増殖型のモジュール型トロイの木馬です。Emotetは元々はバンキング型トロイの木馬でしたが、最近では他のマルウェアや悪意のあるキャンペーンの配布元として使用されています。検出を回避するために、永続性と回避技術を維持するために複数の方法を使用します。さらに、悪意のある添付ファイルやリンクを含むフィッシングスパムメールを介して拡散する可能性があります。
2、↑Dridex – DridexはWindowsプラットフォームを標的とするトロイの木馬で、スパムメールの添付ファイルを介してダウンロードされると報告されています。Dridexはリモートサーバーに接続し、感染したシステムに関する情報を送信します。また、リモートサーバーから受信した任意のモジュールをダウンロードして実行することもできます。
3、↓エージェントテスラ –エージェントテスラは、被害者のキーボード入力、システムクリップボードを監視および収集し、スクリーンショットを撮り、被害者のマシンにインストールされているさまざまなソフトウェア(以下を含む)に属する資格情報を持ち出すことができる、キーロガーおよび情報スティーラーとして機能する高度なRATです。 Google Chrome、Mozilla Firefox、Microsoft Outlookメールクライアント)。
4、↑Trickbot – Trickbotは、新しい機能、機能、および配布ベクトルで常に更新されている主要な多機能ボットです。これにより、Trickbotは柔軟でカスタマイズ可能なマルウェアになり、多目的キャンペーンの一部として配布できます。
5、↑Formbook – Formbookは、さまざまなWebブラウザーから資格情報を収集し、スクリーンショットを収集し、キーストロークを監視および記録し、C&Cの注文に従ってファイルをダウンロードして実行できるinfoStealerです。
6、↓XMRig – XMRigは、Monero暗号通貨のマイニングプロセスに使用されるオープンソースのCPUマイニングソフトウェアであり、2017年5月に初めて公開されました。
7、↑Mirai – Miraiは、有名なモノのインターネット(IoT)マルウェアで、Webカメラ、モデム、ルーターなどの脆弱なIoTデバイスを追跡し、ボットに変えます。ボットネットは、事業者が大規模なサービス拒否(DoDoS)攻撃を仕掛けるために使用します。
8、↓Ramnit – Ramnitは、銀行の資格情報、FTPパスワード、セッションCookie、個人データを盗む銀行用トロイの木馬です。
9、↓Glupteba – Gluptebaは、徐々にボットネットに成熟したバックドアです。2019年までに、公開のBitCoinリストを介したC&Cアドレス更新メカニズム、統合されたブラウザスティーラー機能、ルーターエクスプロイトが含まれていました。
10、↑RigEK – RigEKは、Flash、Java、Silverlight、およびInternet Explorerのエクスプロイトを提供します。感染チェーンは、脆弱なプラグインをチェックしてエクスプロイトを配信するJavaScriptを含むランディングページへのリダイレクトから始まります。

よく利用される脆弱性

今月は、「MVPower DVRリモートコード実行」が最も一般的に悪用される脆弱性であり、世界の44%の組織に影響を及ぼし、続いて「OpenSSL TLS DTLSハートビート情報開示」が世界中の42%の組織に影響を及ぼします。「HTTPペイロードを介したコマンドインジェクション」は3位で、世界的な影響は38%です。

1、↑MVPower DVRリモートコード実行 – MVPower DVRデバイスに存在するリモートコード実行の脆弱性。リモートの攻撃者は、この脆弱性を悪用して、巧妙に細工されたリクエストを介して、影響を受けるルーターで任意のコードを実行できます。
2、↓ OpenSSL TLS DTLSハートビート情報漏えい(CVE-2014-0160; CVE-2014-0346) – OpenSSLに存在する情報漏えいの脆弱性。この脆弱性は、TLS / DTLSハートビートパケットを処理する際のエラーが原因です。攻撃者はこの脆弱点を利用して、接続されているクライアントまたはサーバーのメモリの内容を公開することができます。
3、↑ HTTPペイロードを介したコマンドインジェクション– HTTPペイロードを介したコマンドインジェクションの脆弱性が報告されています。リモートの攻撃者は、特別に細工したリクエストを被害者に送信することにより、この問題を悪用できます。悪用に成功すると、攻撃者はターゲットマシンで任意のコードを実行できるようになります。
4、↔ 茶山(※英文だと、「Dasan」だ…。DASAN Network Solutionsのことか…。韓国の会社だ…。「通信事業者向けのネットワークソリューションに注力し、グローバル企業として成長しています。 KT、SKB、LGU+など、韓国通信事業者における市場シェアは1位です。また、日本の通信事業者、台湾のCHT、ベトナムのViettelなど、グローバル通信事業者にもソリューションを提供し、世界市場での競争力を認められています。」ということだ…。)GPONルータ認証バイパス(CVE-2018から10561) -認証バイパスの脆弱性が茶山GPONルータに存在します。この脆弱性の不正利用に成功すると、リモートの攻撃者が機密情報を入手し、影響を受けるシステムに不正アクセスする可能性があります。
5、↑HTTPヘッダーのリモートコード実行(CVE-2020-13756)– HTTPヘッダーにより、クライアントとサーバーはHTTPリクエストで追加情報を渡すことができます。リモートの攻撃者は、脆弱なHTTPヘッダーを使用して、犠牲PCで任意のコードを実行する可能性があります。
6、↑ Apache Struts2コンテンツタイプのリモートコード実行– Jakartaマルチパートパーサーを使用したApache Struts2にリモートコード実行の脆弱性が存在します。攻撃者は、ファイルアップロードリクエストの一部として無効なコンテンツタイプを送信することにより、この脆弱性を悪用する可能性があります。悪用に成功すると、影響を受けるシステムで任意のコードが実行される可能性があります。
7、↓ Webサーバーに公開されたGitリポジトリの情報漏えい– Gitリポジトリで情報漏えいの脆弱性が報告されています。この脆弱性の不正利用に成功すると、アカウント情報が意図せずに開示される可能性があります。
8、↑SQLインジェクション(いくつかの手法)–アプリケーションのソフトウェアのセキュリティの脆弱性を利用しながら、クライアントからアプリケーションへの入力にSQLクエリのインジェクションを挿入します。
9、↑ PHP php-cgiクエリ文字列パラメーターのコード実行 –リモートコード実行の脆弱性がPHPで報告されています。この脆弱性は、PHPによるクエリ文字列の不適切な解析とフィルタリングが原因です。リモートの攻撃者は、巧妙に細工されたHTTPリクエストを送信することにより、この問題を悪用する可能性があります。悪用に成功すると、攻撃者はターゲット上で任意のコードを実行できるようになります。
10、↓WordPress portable-phpMyAdminプラグインの認証バイパス– WordPress portable-phpMyAdminプラグインに認証バイパスの脆弱性が存在します。この脆弱性の不正利用に成功すると、リモートの攻撃者が機密情報を入手し、影響を受けるシステムに不正アクセスする可能性があります。

トップモバイルマルウェアファミリー

今月はxHelperが最も人気のある(※「流行している」だろう…)マルウェアで、NecroとPreAMoがそれに続きます。

1、xHelper –他の悪意のあるアプリをダウンロードして広告を表示するために使用される、2019年3月以降に流行した悪意のあるアプリケーション。アプリケーションはユーザーから身を隠すことができ、アンインストールされた場合に備えて再インストールされます。
2、Necro – NecroはAndroidトロイの木馬ドロッパーです。他のマルウェアをダウンロードし、侵入型の広告を表示したり、有料サブスクリプションを請求することでお金を盗んだりできます。
3、PreAMo – PreAmoはAndroidマルウェアで、Presage、Admob、Mopubの3つの広告代理店から取得したバナーをクリックしてユーザーを模倣します。』

 ※ まあまあ、ありとあらゆる「コード」に脆弱性があり、「機密情報」が盗まれる危険性がある…、ということだ…。特に、「リモート」で「操作可能なもの」は、危ない…、ということだ…。


 そういうことに「無頓着な」ヤカラが、爆発的に増加しているのが「現状」だ…。「IoT」とは、そういうことだ…。「対策」なるものも、そういうのが「現状」だということを前提に、立てないとならないという話しになる…。あらゆる端末の90%以上(98%くらいもか)は、「抜かれている」と考えた方がいい…。

Windows Serverに超ド級の脆弱性、米国土安全保障省が「緊急指令」を発した理由

https://xtech.nikkei.com/atcl/nxt/column/18/00001/04385/

『サーバー用OSのWindows Serverに危険な脆弱性が見つかった。悪用されるとコンピューターを乗っ取られる恐れなどがある。危険度を表す指標CVSSは最大値の10.0。米国土安全保障省(DHS)は政府機関に対策を命じる緊急指令を発令した。悪用した攻撃は未確認だが近いうちに出現する可能性は高い。攻撃が出回る前にセキュリティー更新プログラムや回避策を適用する必要がある。

17年前から存在する
 今回の脆弱性はWindows Serverに含まれるWindows DNS Serverに見つかった。Windows DNS Serverは米Microsoft(マイクロソフト)製のDNSサーバーソフト。発見者である米Check Point Software Technologies(チェック・ポイント・ソフトウェア・テクノロジーズ)によると17年前から存在するという。

同社によれば、Windows Server 2003から最新版のWindows Server 2019までが影響を受けるとしている。つまり全てのWindows Serverが対象になる。

 マイクロソフトはこの脆弱性を修正するセキュリティー更新プログラムを2020年7月14日(米国時間、以下同)に公開した。現在サポート期間中のWindows Serverに加え、2020年1月に延長サポートが終了しているWindows Server 2008および2008 R2に対しても更新プログラムを提供している。一方、それ以前の古いWindows Serverはサポート期間が終了しているため提供していない。

 今回の脆弱性はDNSのSIGレコードが関係する。このためチェック・ポイントは脆弱性を「SIGRed」と名付けた。細工が施されたデータを送信されるとバッファーオーバーフローが発生し、任意のプログラムを実行される恐れがある。その結果、コンピューターを乗っ取られたり、ウイルス(マルウエア)に感染させられたりする可能性がある。

 この脆弱性を修正するセキュリティー更新プログラムの公開を受けて、前述のようにDHSは7月16日に緊急指令を発令。政府機関に対策するよう命じた。

 緊急指令は法令で定められていて強制力がある。今までに3回しか発令されていない。初めて発令されたのは2019年1月。このときはDNSの改ざんが相次いだための対応だった。2度目は2020年1月。WindowsのRDPに見つかった脆弱性に関して発令された。そして今回が3度目である。

ワームに悪用される
 今回の脆弱性に対して緊急指令を発令したのは、まず第一に危険度が高いためだ。コンピューターを乗っ取られるだけではなく、ワームに悪用される恐れもある。ここでのワームとは、ネットワーク経由で勝手に感染を広げるウイルスのこと。今回の脆弱性を悪用すれば、人手を介することなく感染を拡大できる。このような脆弱性は「ワーム可能な(wormable)脆弱性」と呼ぶ。

 影響範囲も広い。前述のようにWindows Serverの全てのバージョンが影響を受ける。また、DHSのサイバーセキュリティー・インフラストラクチャー・セキュリティー庁(CISA)クリストファー・クレブスディレクターは7月16日付の公式ブログにおいて、政府機関の多くがWindows Serverを利用していると述べている。

緊急指令 20-03を解説するブログ
(出所:DHSのサイバーセキュリティー・インフラストラクチャー・セキュリティー庁)
[画像のクリックで拡大表示]


 脆弱性を悪用する攻撃が出現する可能性も高いとしている。セキュリティー組織の米SANS Institute(サンズインスティチュート)はセキュリティー更新プログラムの公開直後時点で、「DoSエクスプロイト(脆弱性を突いてコンピューターを正常に動作させなくするプログラム)」は確認したが、コンピューターを乗っ取るようなプログラムは未確認としていた。

 緊急指令の発令時点でCISAも悪用を認識していないとしているが、公開されているセキュリティー更新プログラムをリバースエンジニアリングすることで脆弱性の詳細は明らかにされるだろうとしている。

 前出のクレブスディレクターも「今のところ出現していないが、今回の脆弱性を悪用するプログラム(エクスプロイト)が現れるのは時間の問題」と公式ブログで強調する。

国内でもすぐに対策を
 もう1点気になるのが、今回の脆弱性はサーバーOSが対象であることだ。クライアントに比べて台数は少ないものの、セキュリティー更新プログラムの自動更新を有効にしていない可能性が高い。「セキュリティー更新プログラムは事前に検証したうえで適用する」という運用にしている組織は、今回のセキュリティー更新プログラムをまだ適用していない恐れがある。

 DNSの緊急指令は米国政府機関向けだが、当然のごとく対岸の火事ではない。国内でも対策が急務だ。今回の脆弱性対策としては、セキュリティー更新プログラムの適用のほかに、レジストリーを変更するという回避策がある。セキュリティー更新プログラムをすぐに適用できない組織は回避策でしのごう。

 詳細はマイクロソフトの情報(https://portal.msrc.microsoft.com/ja-JP/security-guidance/advisory/CVE-2020-1350)などを参照してほしい。攻撃が出回ってからでは遅い。』

エモテット(Emotet)の話し(その1)

最近、三菱電機がサイバー攻撃された話しがあった…。

三菱電機にサイバー攻撃 中国系か、防衛情報流出恐れ(2020/1/20 10:38)

https://www.nikkei.com/article/DGXMZO54586740Q0A120C2MM0000/

それで、ちょっと情報を集めてみた。

「情報流出は完全には防げない」、三菱電機にサイバー攻撃の衝撃 セキュリティー対策にはコスト上昇の課題も
https://tech.nikkeibp.co.jp/atcl/nxt/column/18/00001/03510/?P=1

ログ消去もされていた三菱電機の不正アクセスについてまとめてみた – piyolog (※ 画像元のサイトです)
https://piyolog.hatenadiary.jp/entry/2020/01/20/172436

この「ログも消去されていた」と言うことで、思い出したのが、「エモテット(Emotet)」と言うマルウエアの話しだ…。

エモテット(Emotet)は、単なる「マルウエア」と言うよりも、「標的メール自動作成ツール群」「標的メール自動作成プラットフォーム」とでも言うべきものだ…。

ある日、何の変哲もない、日常の業務に関係したメールが送られて来る…。

黒塗り部分は、全て通常業務で自分がやり取りしている関係先のものだ…。取り引き先の会社、出席したセミナーの関係者、出席した学会の関係者とか…。メールの「住所録」に記載のあるものだ…。それで、信用して(真正のメールだと思って)、記載されているリンクをクリックして、リンク先に飛んでみると、大変なことになる…、と言うパターンだ…。

個人でも、油断できないぞ…。今どきは、「ネット通販」やらない人はいない御時世だ…。普段よく利用しているネット通販会社から、メールが送られて来る…。次のような文面だ…。

『Аmazon お客様

Аmazon に登録いただいたお客様に、Аmazon アカウントの情報更新をお届けします。
残念ながら、Аmazon のアカウントを更新できませんでした。
今回は、カードが期限切れになってるか、請求先住所が変更されたなど、さまざまな理由でカードの情報を更新できませんでした。

アカウント情報の一部が誤っている故に、お客様のアカウントを維持するため Аmazon アカウントの 情報を確認する必要があります。下からアカウントをログインし、情報を更新してください。
Аmazon ログイン

なお、24時間以内にご確認がない場合、誠に申し訳ございません、お客様の安全の為、アカウントの利用制限をさせていただきますので、予めご了承ください。

アカウントに登録のEメールアドレスにアクセスできない場合
お問い合わせ: Amazonカスタマーサービス。

お知らせ: 

パスワードは誰にも教えないでください。
個人情報と関係がなく、推測しにくいパスワードを作成してください。大文字と小文字、数字、および記号を必ず使用してください。
オンラインアカウントごとに、異なるパスワードを使用してください。

どうぞよろしくお願いいたします。
Аmazon 』

ご丁寧に「ログイン・ボタン」まで作られていて、「パスワードは誰にも教えないでください。」とかご親切にも「お知らせ」してくれている…。

それで、「こりゃ、大変だ…。」とか思って、リンク先に飛んでみると、大変なことになる…、というパターンだ…。

エモテット(Emotet)は、こういう「標的メール」作成の元になる、メール・ソフトのユーザーの「個人情報」を窃取するマルウエアなんだ…。