【アメリカ】Anonymousがアトランタ警察のWebサイトをダウンさせたと主張
SC Mediaの引用記事になります。
概要
ハッキング集団のAnonymousはTwitter上で、6/12に黒人男性が警官に射殺された事件への報復として、アトランタ警察のWebサイトをダウンさせたと発表した。
Webサイトは一時アクセス不能となり、3時間ほどで復旧された。
5/30にもミネアポリスの警察部門のWebサイトが動作しない状況となっており、Anonymousに対して抗議が行われているものの、今なおAnonymousとミネアポリス間でサイバー攻撃と思われる通信が継続されている状態である。
思うこと
どのような手段でWebサイトをダウンさせたかは書いていないので対策は不明確であるものの、根本の原因は”社会的な信頼の喪失”であるのは間違いない。
セキュリティの専門家としては、守る側の警察の立場に立っていかにWebサイトを安全な状態にするかに全力を尽くし、それによって一般市民の安全を守ることを目指すべきだと思う。
以上
【南アフリカ】従業員がマスターキーを盗んだことで銀行が1200万枚のカードを再発行
ZDNetの引用記事になります。
概要
南アフリカの郵政民営銀行は、従業員がデータセンター内でマスターキーを印刷し、320万ドルを窃取するために同マスターキーを利用したと発表。
同銀行は、320万ドル以上を失い、また1200万枚以上のカードを再発行しなければいけない事態に陥っている。
マスターキーは36文字の暗号鍵で、銀行のオペレーションを解読し、銀行システムへのアクセス及び変更を可能にするものであった。また同キーは、顧客カード向けの暗号鍵を発行するのにも用いられていた。
内部レポートによれば、2019年3月から12月の間で従業員がマスターキーを用いて25000以上のトランザクションを発生させ、320万ドルを顧客の口座から盗み出したという。
同銀行は、マスターキーによって作成された全顧客のカードを再発行する必要があり、それには5800万ドルものコストがかかることが推測されている。
有識者の声
従業員はHost Master Key(HMK)へのアクセスが可能だったことが推測できる。
HMKはすべての鍵を保護するために利用でき、同時にATMのピンコード、自宅の端末、顧客データ、クレジットカード情報等々の情報にアクセスするために悪用できてしまう。
今回の鍵は、これらのデータが含まれる内部のアプリケーションおよびデータベースと繋がっているメインフレームもしくはサーバで利用された。
一般的な対策として、HMKは専用のサーバで管理され、また物理的なアクセスから厳格に保護されておく必要がある。
また、1ユーザがすべてのキーにアクセスできる状態にせず、役割に応じて最小限の権限を与えるべきである。
一般的に、これらのキーは今回のような攻撃を避けるために定期的に変更されるべきである。
思うこと
非常に大規模なインシデントですね。300万ドルということは3億円規模かと。
今回のインシデントからは、鍵管理と内部不正防止の重要性が分かるかと思います。
鍵管理については、第三者の鍵管理サービスを利用したうえで、アクセスできるユーザを厳密に管理することやキー情報を定期的に変更することが一つの方法かと思います。
また内部不正を防止する観点では、以下のような基本原則をもとに、セキュリティ対策を予防する取り組みをしていくことが求められます。
内部不正防止の基本原則(IPAの内部不正ガイドラインより引用。)
- 犯行を難しくする(やりにくくする):対策を強化することで犯罪行為を難しくする
- 捕まるリスクを高める(やると見つかる):管理や監視を強化することで捕まるリスクを高める
- 犯行の見返りを減らす(割に合わない):標的を隠したり、排除したり、利益を得にくくすることで犯行を防ぐ
- 犯行の誘因を減らす(その気にさせない):犯罪を行う気持ちにさせないことで犯行を抑止する
- 犯罪の弁明をさせない(言い訳させない):犯行者による自らの行為の正当化理由を排除する
以上
【メキシコ】ロシアのハッカー集団がメキシコの納税者ID14000件を公開
SC Mediaのまとめ記事です。
概要
m1xと呼ばれるロシアのハッカー集団が、メキシコ政府のWebポータルを侵害した。3日後、政府が身代金の支払いを許可すると、同ハッカー集団は14000件のメキシコ納税者IDを公開した。
またbitcoinでの支払い方法が分からないことや、内部での合意が迅速に行われなかったことを受け、同ハッカー集団は6/10に100Gbpsのデータを流出させた。
特徴
興味深い点は、ハッカーは見能代金支払い期限より2日早く情報を流出させた。被害者へ強くプレッシャーをかけるための作戦と思われる。
m1xがロシア政府と繋がっているかは不明だが、政府向けの攻撃が非常に多く行われており、またロシア政府は彼らを野放しにしている状態である。
住民への注意喚起
メキシコの情勢を考えると、個人情報が漏洩することで住民が危機に瀕する可能性があるため、全メキシコ人は注意を払うべきである。
思うこと
まず、名の知れたハッカー集団はAnonymousに限らず、ロシアのm1xや中国のGALLIUMなど多数存在していることを知った。また、政府と関連がある可能性があるという点から、単純な金銭目的の犯罪以上に危機意識が高められる。
今回引っかかったのは、100Gbpsものデータを攻撃者がどのように収集したか。言い換えると、被害者はなぜ防げなかったかが気になる。しきい値による違法アップロード、ダウンロードの検知などは対策の1つとして考えられる。
以上
【アメリカ】Twitterは中国、ロシア及びトルコ人プロパカンダの3万2千アカウントを停止
ZDNetのまとめ記事です。
概要
Twitter社は、3つの巨大ネットワークに属するアカウントを停止した。
・中国:Anti-Hong Kong Protests Network
・ロシア:Attacking Political Dissidents
・トルコ:Hacking Anti-Erdogan Accounts
※詳細は割愛
思うこと
過激な政治的活動を抑制するためのアカウント停止と思われる。先日、新型コロナウイルスや香港との関係について、中国政府よりの情報を拡散させていたとして17万アカウントを停止したことで、同政府は反発を起こしていた。
自由は守りつつも、平等に、安心して利用できるプラットフォーマーとなるには様々な苦労が伴うんだなと再認識。。
何をもって正とするか、何をもって悪とするか、組織としてアクションを取る際には軸をぶらさないことも大事かと思う。
以上
【グローバル】ハッカーが再び設定ミスのあるAWS S3 Bucketsを悪用
CYWARE Socialのまとめ記事です。
https://cyware.com/news/once-again-hackers-exploit-misconfigured-aws-s3-buckets-147d2e95
概要
攻撃者たちは、設定ミスのAWS S3を悪用してWebサイトにコードを埋め込み、クレジットカード情報の摂取とマルバタイジング(Malvertising: マルウェア感染や不正サイトへのリダイレクトを目的とした悪質なWeb広告)に励んでいる。
Magecartと呼ばれるハッカー集団は、AWS S3の設定ミスをついてクレジットカード情報のスキミングを行っている。
※時間がないので詳細は割愛
対策
まずS3バケットに対して、ACLやバケットポリシーを適切に設定する。
またデジタルアセットの一覧を整理しておき、かつセキュリティチームの監視下に置かれているべきである。
思うこと
クラウドサービス上のインシデントの大半は、設定ミスによるものと言われている。
昨今はAWSやMicrosoft自身がセキュリティツールを導入しており、同社の実績やCIS Benchmark等の各種ガイドラインと照らし合わせて、クラウド上のコンポーネントの設定状態が安全かどうかを自動で判定することができるので、活用すべきである。
以上
【オーストリア】ハッカーがオーストリア最大のISPベンダーを攻撃
ZDNetのまとめ記事になります。
https://www.zdnet.com/article/hackers-breached-a1-telekom-austrias-largest-isp/?&web_view=true
概要
オーストリア最大のISPベンダーであるA1 Telekomは、2019年11月からマルウェア侵害を受けていた。
2019年12月から2020年5月の間、A1セキュリティチームはバックドア要素および侵入者を排除するためにマルウェアのオペレータと戦っていた。
6か月間に及ぶ執拗な攻撃を受けたが、攻撃者は機微な顧客データは持ち出せなかった。
行われた攻撃と対策
マルウェアは全社には拡大しておらず、オフィス内のネットワークに限定された。
攻撃者はおそらく手動でマルウェアをコントロールし、全体的なネットワークに侵害範囲を拡大しようとしていた。彼らは、複数データベースを侵害しており、社内ネットワークを把握するために複数のデータベースクエリを実行していたが、ネットワーク構成が複雑であったことで拡大を防げたのではないかとしている。
A1によると、先月ハッカーを追放することに成功し、その後8000名の従業員のパスワード及びアクセスキーを変更した。
内通者によると、このハッキングはGalliumとよばれる中国の国家的ハッキンググループによるものだと主張しているとのこと。
なお、A1グループとしてはこの内通に関してコメントは控えている状態。
思うこと
手動でマルウェアをコントロールして、半年間もの間戦うなんてことがあるんですね。。典型的なAPT(Advanded Persistent Threat)攻撃ですね。
物理的な犯罪であれば半年間もあれば犯人逮捕に繋がりますが、国家をまたいだサイバー攻撃だと本当に物理的な犯罪の常識が通用しないなあと再認識しています。
インシデントレスポンスチームの皆さんには頭が上がりません。
以上
【日本】任天堂は30万以上のアカウントが侵害されたことを確認
Mashable Indiaのまとめ記事となります。
概要
今年4月に任天堂は16万アカウントが漏洩したことを発表していたが、今回30万件のアカウントが漏洩したことが確認された。
任天堂は、4月時点から約14万件が追加で不正アクセスされたとしており、それらのアカウントのパスワードをリセットした。
任天堂スイッチと、任天堂3DS・WiiU's NNID(Nintendo NetworkID)を接続した際の脆弱性が指摘されており、同社はNNID経由での任天堂アカウントへのログインを廃止していた。
思うこと
原因は上記の脆弱性が問題なんですかね。現在は同機能が停止されているようなので、リスクの回避を行った形ですね。
今後も狙われる可能性があるので、利用者は多要素認証を取り入れるなど対策が必要ですね。(脆弱性をつかれたらそれもむなしく不正アクセスされる可能性もありますが。。)
以上
