ハッカーが欲しいデータとは〜 狙われる換金力のあるデータ 〜(2) | ScanNetSecurity
2024.03.29(金)

ハッカーが欲しいデータとは〜 狙われる換金力のあるデータ 〜(2)

●様々な犯罪手口とお国柄

特集 特集
●様々な犯罪手口とお国柄

 前回の説明から、マネー目当てといってもその標的や手口は様々であることは想像に難くないだろう。興味深いのは、これらのサイバー犯罪にはお国柄が出るところだ。

 例えば、小銭稼ぎをしたい攻撃者が個人情報を狙うのは何故だろうか。それはその国に個人情報を買い取ってくれる名簿屋が存在するためだ。そして名簿屋はダイレクトメールやスパム業者などの個人情報を欲している業者へ転売する。高校や大学を卒業すると、卒業アルバムを売って欲しいという業者から連絡が来るのはそのためだ。それと同様のことがインターネット上でも発生している。

 試しに胡散臭い投資情報などの勧誘電話連絡が会社にかかってきたら、業者側に一度尋ねてみると面白い。「何処からその情報を得たのですか?」と。業者側は意外に素直に答えてくれるので、どのサイトから情報が流出し売買されたか見当がつく。

 では、換金力のある"商品"とはどのようなものがあるのだろうか。すぐに思いつくのはオンラインゲームのアカウント情報だろう。これは、以前から言われているので詳細な説明をするまでもないだろう。オンラインゲームのアカウント情報収集の手口は、スパイウェアやボットによるものが多いことも良く知られている話だ。一見、常に闇に潜んでいるように見えるサイバー犯罪者だが、場合によってはオンラインゲーム関連のサービス業者が顧客のアカウント情報を悪用するケースもある。こそこそ攻撃をするイメージのあるサイバー犯罪者だが、効率よく換金するために表家業と裏家業を使い分けていることがある。そのため、スパイウェアだけに気をつけていれば良いというわけではないのだ。同様にメールアドレスも侮れない。不思議なことにメールアドレスに対して無防備なユーザが多い。恐らく、メールアドレスが漏えいしてもスパムが増えるくらいだろうと思っているのだろう。もしかすると、読者の中にもECサイトなどのパスワードをメールアドレスにしている人もいるのではないだろうか。メールアドレスはハッカーが"なりすまし"をする際に高い確率で試行するパスワードの一つである。ECサイトなどにある入力フォームに良くある、「ID」「パスワード」「メールアドレス」の3点セットを見たら、入力情報が重複しないように設定するのは重要なポイントだ。

●ハッカー大国の場合

 ハッカー大国ロシアやブラジルではどうだろうか。これらの国のハッカーは、より大きな金額を欲する傾向にあるようだ。その代表的なものがランサムウェアによる脅迫である。日本ではあまり知られていないが、Gpcodeがその典型だ。Gpcodeとは、実行するとPC内のドキュメントファイルなどをRSA暗号により暗号化してしまう悪性プログラムだ。PC内のドキュメントファイルを暗号化すると、ポップアップにより『元に戻して欲しかったら$200払え』などというメッセージが表示される。バージョンによってはテキストファイルでコメントが残されたりする。実際に暗号化されてしまうと、その対応は本当に厄介だ。悪性プログラム開発者以外の第三者が暗号を解読するか、ポップアップの指示に従うかしか元のファイルを復元することはできないのである。

 この脅迫手口はサイバー犯罪者に有利になるように良く考えられている。Gpcodeの対象はクライアントPC内のデータであったとされる。しかし、その対象が組織内のファイルサーバとなった場合を考えたことはあるだろうか。筆者がすぐに思いつくものだけでも次の3点がある。

・被害企業は外部へ公表した場合、社会的信用の問題があるために相談できない。仮に警察へ届け出たとしても、犯人は捕まらない可能性が高い。その証拠にランサムウェアを利用したサイバー犯罪者は捕まっていない。

・サイバー犯罪者の要求に応えないとファイルサーバは暗号化されたまま。適切にバックアップが取ってあれば被害は最小限に抑えられるかもしえない。

・要求に応えなければ、ファイルサーバの情報は第三者に売買される可能性がある。サイバー犯罪者はサーバを既に乗っ取っているし、暗号化するための秘密鍵を持っている。

 何よりも要求に応えたところで、サイバー犯罪者が秘密鍵を渡してくれるとは限らないことを念頭に置いておく必要もある。

 なお、Gpcodeが発見された当初は暗号化の解読は困難とされていたが、カスペルスキー・ラボの研究者により解読されている。現在の最新バージョンは1024bitで暗号化されるが、このバージョンにおいてもわずかなミスがあったことからカスペルスキー・ラボにより暗号は解読された。しかし、今後も同様のミスがあるとは限らない。もし完璧な亜種が登場した場合、解読は非常に困難になることは誰もが想像できる。何よりも脅威なのは、作成者(脅迫者)は現在も逮捕されていないことだ。類似の悪性プログラムが登場していることから模倣犯は既に存在すると推測できる。サイバー脅迫犯罪が世界中でブームになるのはこれからかもしれない。

 このように、脅迫により数万円以上の額を堂々と要求するのは、その国の犯罪文化が影響しているようにも思える。日本でもDDoS攻撃を用いた脅迫犯罪が発生していることを踏まえると、ランサムウェアが登場するのも時間の問題だろう。

●中国ハッカーの欲しい情報

 最後に日本に最も影響のありそうな、お隣中国の例を紹介しよう。最近、中国のサイバー犯罪者と考えられる攻撃で見かけるのがメールの盗聴だ。現在どのような組織のメールが狙われるかは秘密だが、メールには様々な情報が含まれている。ちょっとした情報から添付ファイル、パスワードなど様々だ。組織内の情報の殆どがメールから読み取れるとしたら、その影響度の大きさは容易に想像できるだろう。大抵の場合は特定のメールボックスやアカウントに絞り盗聴されていることが多い。そのため、時々見かける「パスワードは後でメールします」などのメールは、殆ど意味がないことを覚えておこう。そこで、ここでは比較的最近中国のサイトで紹介されたメール盗聴のペネトレーション・ストーリーを紹介しよう。

 このストーリーは非常にシンプルで、わずか3ステップで完結する。標的はLinuxサーバを利用しているホスティングサービスで、ブログやCMSが利用可能である環境だ。

 攻撃の概要であるが、端的に説明するとアップロード攻撃によりWebバックドアを悪用可能な状況とし、スニファーを仕掛けるというものだ。

(1) 狙いはCMSやアップロード可能なメンテナンス経路

 最近、特に見かけるのがWebバックドアを利用した不正操作だ。WebバックドアとはASPやPHPなどのようにWebアプリケーションとして動作するバックドアである。元々はWebアプリケーション開発者が、こっそりメンテナンスをする際に作成したものという話もある。その真偽は定かではないが、如何にもありそうな話である。

 このWebバックドアだが、アップロード機能のあるCMSやFTPに制限をかけていないWebサーバが狙われる傾向にある。アップロード攻撃は特別なスキルを必要としない。その上、"なりすまし"などの正規の操作により実行されることが多いため検出が難しい。さらにWebバックドアは利用用途は不正であるが、きちんとしたWebアプリケーションである。そして他のアプリケーションと同様に、ソースコードは千差万別であるため、アンチウイルスソフトウェアでの検出が難しいのが特徴だ。そのため、アンチウイルスソフトウェア程度の対策しかしていないと、長期間悪用可能となる。実際、筆者の知る日本国内でのケースでは、1年以上気付かなかったことが複数ある。

 サーバ運用が適切に実施されている環境では、侵入直後に気付くことが出来るはずだ。しかし、多くのサイト運用者は人的リソースやスキル的問題によりサーバ運用とネットワーク運用が手一杯となる。そのため、サーバ内のコンテンツ管理までは手が回らず、いつの間にかアップロードされた異質のアプリケーションに気付くことはない。

(2) カーネルの脆弱性で権限昇格

 ネットワーク上のセキュリティばかり強化し、サーバそのものをハードニングすることを忘れているサイトを多々見かける。特に多いのが、サーバ・アプリケーションに対しては最新のバージョンを常に利用するなどしているが、カーネルに関しては無頓着なケースだ。このような環境は、攻撃コードをサーバ上にダウンロードできる環境下であれば一瞬で管理者権限を奪取することができる。つまり、今回のケースではアップロード攻撃によりWebサーバの権限(Apache権限など)を奪取し、カーネルを攻撃するための攻撃コードをダウンロードできてしまえば、管理者権限を奪取することができることになる。

 余談だが、このような環境のホスティングやレンタルサーバのサービスは、ファイアウォールをIPtablesで代替していることが多い。もうお分かりだと思うが、管理者権限に昇格されてしまえば、IPtablesは無効化することが出来てしまう。そういった意味ではファイアウォールをネットワーク上に設置したサービス内容の会社を利用した方が安全だ。

(3) メールの盗聴

 最後に盗聴ツール(スニファー)のインストールである。昨年から中国ハッカーサイトで何かと話題になっているのがメール盗聴だ。メール盗聴はパッシブな攻撃であるため、巧妙に悪性プログラムを設置された場合は殆ど気付くことができない。

 スニファーと聞くと、リピーターハブ時代の話であってスイッチ全盛の現在では関係ない話と思っていないだろうか。スイッチの盗聴技術として、ARP Spoofingも古典的な攻撃があることを忘れてはならない。実際に、2007年はARPキャッシュ・ポイズニングによりWebサイトが改ざんする攻撃が話題になったことは記憶に新しい。実は今回中国ハッカーサイトで紹介されている攻撃も、ARP Snifferと呼ばれるARPテーブルを更新するツールを利用している。

 さて、全体の流れをまとめると次のようになる。

■ステップ1
 アップロード機能に脆弱性を持つサイトに、GIF98aのファイルを装ってWebバックドアをアップロード。

■ステップ2
 Webバックドアを介してカーネルの脆弱性を悪用するExploitコードをダウンロードし実行。管理者権限を奪取する。

■ステップ3
 ARP Snifferをダウンロードし実行し、ARPキャッシュポイズニングを行う。簡単に説明すると、ゲートウェイ情報を詐称したARPスプーフィング・パケットをブロードキャストに送信し、ネットワーク管理下のARPテーブルを更新する。その結果、管理下のホストからメールサーバへ送信されたパケットを受信可能となりメールの盗聴が可能な状態となる。

 攻撃手順はこれだけである。誰でもできる攻撃だけに非常に厄介な攻撃であることが分かって頂けただろうか。しかし、これらの攻撃を気付くことは中々難しいのが現状だ。ベストなのはステップ1のアップロードの段階で気付くか、ステップ2が出来ないようなサーバにするかである。ステップ3まで来てしまうと手に負えないのが現状だろう。また、もう一つ覚えておいて貰いたいことがある。メールの盗聴は、必ずしも外部の者が行っているとは限らないことだ。内通者や関係者も対象であることを忘れてはならない。

●データは盗まれることを前提に保持

 換金力をもつ情報は様々な形で存在する。これまで述べてきた被害を受けないようにするには、換金力のあるデータを持たないことであるが、それは不可能だ。完璧な防御は思いつかないが、可能な限り被害を受ける確率を下げることは可能だろう。本稿では全て紹介しないが、気に留めておいて貰いたい点を幾つか紹介しよう…

【執筆:二根太】

【関連記事】
ハッカーが欲しいデータとは〜 狙われる換金力のあるデータ 〜(1)
https://www.netsecurity.ne.jp/7_12584.html
SCAN DISPATCH : 「RSA1024キー」を使用するランサムウエア
https://www.netsecurity.ne.jp/2_11710.html
置き去りにされるメールセキュリティ(1)
https://www.netsecurity.ne.jp/3_12604.html
──
※ この記事は Scan購読会員向け記事をダイジェスト掲載しました
購読会員登録案内
http://www.ns-research.jp/cgi-bin/ct/p.cgi?m-sc_netsec
《ScanNetSecurity》

Scan PREMIUM 会員限定記事

もっと見る

Scan PREMIUM 会員限定記事特集をもっと見る

カテゴリ別新着記事

「経理」「営業」「企画」「プログラミング」「デザイン」と並ぶ、事業で成功するためのビジネスセンスが「セキュリティ」
「経理」「営業」「企画」「プログラミング」「デザイン」と並ぶ、事業で成功するためのビジネスセンスが「セキュリティ」

ページ右上「ユーザー登録」から会員登録すれば会員限定記事を閲覧できます。毎週月曜の朝、先週一週間のセキュリティ動向を総括しふりかえるメルマガをお届け。(写真:ScanNetSecurity 名誉編集長 りく)

×