Article

        

サイバー攻撃。映画を超えた現実。

2017/ 06/ 30
                 
今日は、驚きのサイバー攻撃の現実について某セミナーで聞いてきましたので書きます。

サイバー攻撃の現実。まるで映画の世界


現在、日本ではまだ確認されていないが、世界では一昔前のように少数の者が工夫して攻撃を行うのではなく分業体制のできた組織的な攻撃チームを編成している。

そこでは、まず、
  • 情報収集担当が、対象企業の職員の氏名や役職を収集する。
  • 公開情報から典型的なメールアドレスは氏名から推測できるため、職員のメールアドレスと膨大なリストを作成することから始める。
  • 次に、対象企業の職員が職場の写真をフェイスブックなどのSNSに掲載していた場合、写真の後ろに写っているパソコンから利用しているアプリケーションを解読する。
  • そして、そのアプリケーションの脆弱性を分析し、カスタマイズした独自ウィルスを設計する。

昨今の情報漏えいにより公開情報を使わなくても、別ルートで特定の政府機関や金融機関、企業に勤めている者のメールアドレス等のリストを作ることは容易になっている。
(2016年12月米Yahoo!が10億件、11月出会い系サービスのアダルトフレンドファインダーが4億件の個人情報流出など)

  • その上で、システムに入り込むためにメールを送りつける。システムに入り込むためには相当な時間がかかるが入れない組織はない。

  • 一旦入り込んだ後は、しばらく時間をおき、見つからないようにする。その後に、ウィルスをさまざまな端末やさまざまな箇所に埋め込み始める。

  • ウィルス同士が連携をとる設計としており、万一、ウィルス駆除ソフトに発見されて、ある端末でウィルスが駆除されても、駆除されそうになったウィルスから他の端末の、ウィルスに連絡し、連絡をうけたウィルスは姿を変えるように仕組まれている。

  • その結果、1つのウィルスを駆除しても同じ駆除ソフトでは2つ目、3つ目は駆除できない。
  • そして、残ったウィルスが金融機関などのシステムの仕組みを調査し、把握したシステム情報を攻撃者へ少しずつ送る。
  • 現実に、監視カメラをのっとり、遠隔操作で監視カメラを動かし、パソコンの画面を撮影することによりパスワードまで盗まれたケースもある。
  • このように、対象企業を十分調査し、情報を十分に蓄積した上で一番適したウィルスを専門チームが何カ月もかけて作り送り込む。そしてタイミングを見計らって本格的な攻撃に転じる。

    このような攻撃に対しては、一旦侵入をうけると対応は極めて困難で、絶対安全というシステムを作ることは不可能である。

    しかし、他の組織よりも相対的に攻撃しにくいセキュリティーを構築することは可能である。
    常に最新の情報収集を行い、対応を行っていくことが必要である。

    日本おけるサイバー攻撃

2015年6月に日本年金機構の125万人の個人情報流出が発生した。
その後、内閣官房サイバーセキュリティ戦略本部による「日本年金機構における個人情報流出事案に関する原因究明調査結果」では攻撃者が、ウェブサイト等で公開されていない機構職員のメールアドレス及び氏名を100以上用意しサイバー攻撃を行ったことが判明している。
つまり、なんらかの形で流出した非公開の情報を攻撃者は入手しているということである。

2017年の主なところだけでも
6月メルカリ(フリマアプリ)5万4千件
6月ぴあ(チケットサイト)15万件
4月ネクソン(オンラインゲーム)8万5千件
3月JINS(メガネ屋)118万8千件
2月GMOメイクショップ(WEB制作)3万2千件
1月クラウドゲームス(オンラインゲーム)14万件
などのメールアドレスを含む個人情報の流出が報告されている。
日本でも非公開のメールアドレスがこのような情報流出により攻撃者の手に渡る可能性が出てきている。
先月に引き続き6/27にも世界規模での「ランサム(身代金)ウエア」と呼ばれるコンピューターウイルスを使ったサイバー攻撃発生した。
ウクライナ政府のコンピューターネットワークが麻痺し、チェルノブイリ原発の放射線測定システムも攻撃を受け、手動作業への切り替えに追い込まれるなどの被害が出た模様。

ランサム(身代金)ウエアとは
パソコンに保存された文書や画像などのファイルを暗号化して閲覧できないようにしたり、パソコンを強制的にロックして使えないようにしたりするウイルス。感染すると、元に戻すことと引き換えに、仮想通貨や電子マネーなどを支払うよう要求される。

「他の組織より相対的に攻撃しにくいセキュリティーを構築」すれば攻撃者は別の企業を対象にすることになるので、最後にセールス(まあ当たり前ですが)でしたが、フェイスブックからその企業のシステムの脆弱性を把握したり監視カメラを遠隔操作してパスワードを入手するなんて、まるで映画の世界!でした。

結構面白く、また参考になりました。





関連記事
                         
                                  

コメント