【北朝鮮のサイバー攻撃】米軍対抗で接続インフラ、中露が支援
2017.11.20 06:29更新http://www.sankei.com/world/news/171120/wor1711200009-n1.html
北朝鮮は、サイバー攻撃で外部とのインターネット接続を遮断しようとする米軍などの動きに対抗し、接続インフラの増強を続けている。近年、接続サービスの提供を依存してきた中国に加え、10月からは新たにロシアからのサービス提供も始まり、弱点強化で遮断が難しくなっただけでなく、サイバー攻撃の能力も向上したとの見方が出ている。
トレンドマイクロや米メディアなどによると、北朝鮮が使用しているネット上の住所に当たるIPアドレスの数は1024個で、日本の約2億個、米国の約15億個と比べると非常に小規模だ。
そのため、米国は大量のデータを送りつけて相手のシステムをまひさせる「DDoS(ディードス)攻撃」などが有効と判断。今春から9月末にかけて実際に攻撃を行い、北朝鮮におけるネット接続の封じ込めを図ったが、思うような成果は上がらなかった。攻撃の効果が限定的だった背景には、ほとんどが他国である中国の回線を経由していたという北朝鮮の複雑なネット事情があるという。
さらに北朝鮮は10月からロシア国営の通信事業会社からも接続サービスを受け始め、ネットインフラで中露両国から支援を得る形となった。北朝鮮からすれば、ネットインフラの依存先を複数に分散させることで、リスク低減にもつながるとみられる。
専門家の間では「これで遮断はより困難になった。接続回線が増えればサイバー攻撃の能力も向上する」との声が上がっている。
北朝鮮、サイバー攻撃に力も国内パソコンがウイルス大量感染 大使館は機密守れぬフリーメール使用
2017.11.20 06:15更新http://www.sankei.com/world/news/171120/wor1711200008-n1.html
北朝鮮内で使われている相当数のパソコン(PC)が、コンピューターウイルスに感染して別のサイバー攻撃に悪用されるなど、相次いで外部の侵入を受けていたことが2017年11月19日、情報セキュリティー会社の調査で分かった。北朝鮮は外貨獲得などのため他国へのサイバー攻撃に力を入れているとされる一方で、セキュリティーが不十分なフリーメールサービスが公共機関で利用されていることも判明、ネット環境をめぐるお粗末さや、守りの弱さが浮き彫りになった。(福田涼太郎)
調査は「トレンドマイクロ」(東京)が昨年8~12月にかけ、ネットを通じて北朝鮮で送受信されている情報の流れなどを調べた。
その結果、北朝鮮から送信された迷惑メールの一部は、遠隔操作ウイルスに感染したPCから送られており、外国のハッカーなど外部から指示を受け、発信元の偽装のため“踏み台”にされていたことが分かったという。調査期間中だけで少なくとも約30種類以上の迷惑メールが送信されていた。中には1年以上もウイルスに感染したまま放置されていたPCもあった。
一方、北朝鮮の一部在外大使館では、無料で手軽に使えるものの、IDとパスワードを盗まれると内容をのぞき見される恐れがある「Gmail」や「Hotmail」などのメールサービスが利用されていることも分かった。日本の外務省の通信業務担当者は「フリーメールでは危なくて機密のやり取りができない。(使用は)考えられない」と驚く。
近年、北朝鮮の関与が疑われるサイバー攻撃は多発している。2014年に北朝鮮の金正恩・朝鮮労働党委員長の暗殺計画を描いた映画を制作したソニー傘下の米映画会社から個人情報などが流出。昨年2月にはバングラデシュ中央銀行から過去最高の被害額となる8100万ドル(約89億円)が盗まれた事例もあった。
ただ、必ずしも自身のセキュリティーとなると厳格に管理されているとはいえず、北朝鮮が限られた資金や人材を攻撃面のみに注力している可能性も指摘される。ある専門家は「技術的には、外部からネットを通じて北朝鮮から情報収集を行う余地がないわけではない」とも話している。
北朝鮮が韓国のATMをハッキング、高まるサイバー攻撃力
2000年よりセキュリティ会社でインシデント対応やフォレンジック業務などに従事する。近年は国際的なサイバー犯罪や国家戦略に関連したサイバー攻撃の研究に取り組み、攻撃実行者像の分析を基軸とした技術コンサルティングや演習・訓練サービスなどに注力する。官公庁などのセキュリティ関係委員会の委員や日本サイバー犯罪対策センター(JC3)の理事なども務める。近著に「動かして学ぶセキュリティ入門講座」「標的型攻撃セキュリティガイド」などがある。
2017/11/21http://itpro.nikkeibp.co.jp/atcl/column/17/110800501/111700001/?rt=nocnt
2017年9月に韓国警察庁より興味深い報告書が公表されたのをご存知だろうかだろうか。報告書によれば、北朝鮮のサイバー攻撃グループが韓国国内のATM(現金自動預け払い機)をハッキングし、金銭を不正に引き出したという。
北朝鮮のサイバー攻撃グループの関与が比較的早い段階で判明した。これは、攻撃手口は過去のケースと類似しているうえに、悪用されたマルウエア(悪意のあるソフトウエア)が2016年に使われたものと同一だったためだ。 報告書では明示していないが、報告された手口やマルウエアから攻撃グループを推察すると、朝鮮労働党の配下とされる「Lazarus(ラザルス)」が思い浮かぶ。ラザルスは世界の大手金融機関でつくる国際銀行間通信協会(スイフト)の送金システムをハッキングしている。2016年2月にはバングラディシュ銀行(同国の中央銀行)を攻撃し、同行の米ニューヨーク連邦準備銀行の口座から約10億ドルを盗もうとし、うち8100万ドルを盗み出したとされている。
サイバー攻撃から不正引き出しまでの流れ
本事案が被害をもたらしたのはサイバー攻撃と金融犯罪が組み合わさったからだ。
サイバー攻撃面では、攻撃グループが韓国チョンホ社製のATMから金融取引情報を窃取したときの侵入経路が興味深い。報告書は侵入経路が複数あったとしており、その1つはウイルス対策ソフトに定義ファイルを配布するサーバーだという。
ソフトウエアに正規の更新ファイルを配布するサーバー(更新サーバー)を悪用する攻撃は記憶に新しい。最近ではPC内の不要なファイルを削除するソフトである「CCleaner」において、何者かに更新サーバー上にあるバイナリファイルに悪性コードを挿入した。表沙汰になっていないが日本でも数社が被害を受けている。
2014年には動画再生ソフト「GOM Player」の更新サーバーが侵害された。未発表の事案を含めると、更新サーバーを悪用した攻撃が複数ある。共通するのは攻撃が判明するまでに時間を要している点であり、このタイプの攻撃が防御側にとって厄介な手口であり続けていることが分かる。
金融犯罪の面では、サイバー攻撃グループは入手した情報をある中国人に渡したという。この中国人は北朝鮮のサイバー攻撃グループと中国の金融犯罪グループの仲介役・調整役を務めている。この人物は偽造キャッシュカードを作成する仲間に情報を渡し、韓国の内外で金銭を不正に引き出すことに成功した。なお、「国外」には日本も含まれていることは興味を引く。
サイバー攻撃の概要
· ステップ1:攻撃者が定義ファイルの配布サーバーに脆弱性を突いて侵入、サーバーの管理者権限を奪取
· ステップ2:攻撃者が定義ファイルに偽装したマルウエアを配布サーバーにアップロード
· ステップ3:正規の定義ファイルとしてマルウエアをダウンロードした特定メーカーのATMを攻撃者が遠隔操作してATM端末上の運用記録を窃取
サイバー攻撃の概要図
· 侵入経路は前述したように定義ファイルの配布サーバーである。サイバー攻撃グループは2016年の別の攻撃キャンペーンで活用したC2サーバー(指令サーバー)に加え、遠隔操作機能を備えたRAT(リモート・アクセス・ツール)として有名な「Gh0st RAT」、キーロガーといったマルウエアを再利用している。
· 一般にATMは閉じたネットワーク(閉域網)につながるため、今回の侵入はATMの閉域網にPCを接続できる人物であると容易に想像がつく。いわば内通者がいたということだ。今後、サイバー攻撃対策として、関係者のリスク管理が課題になりそうだ。
関与者の意外性とサイバー攻撃の今後
· 本事案の興味深い点として、攻撃手口の巧妙さに加え、関与した組織の関係性が挙げられる。北朝鮮のサイバー攻撃グループと中国の金融犯罪グループの関係が表沙汰になったケースは初めて目にした。
· 北朝鮮は中国依存から脱却するために、ロシアからインターネット環境の提供を受け始めている。IT環境だけでなく、ロシアから様々な協力を得て力を増す可能性がある。北朝鮮とロシアの接近は、北朝鮮に関連したサイバー攻撃が今後ますます洗練されていくことを予見させる。北朝鮮のサイバー脅威は比較的身近なものであり、日本の各組織は韓国の事案を教訓にして今後の対策に生かしていくべきだろう。
·
0 件のコメント:
コメントを投稿