連載
» 2018年08月01日 07時00分 公開

半径300メートルのIT:"使いやすいパスワード”が、大規模組織のシステムをつぶす――「恐怖の実話」はなぜ起こったのか (2/4)

[宮田健,ITmedia]

 攻撃のあらましを順に追っていきましょう。第1次攻撃は、2017年10月27日から12月末まで行われました。そして、この攻撃が明らかになったのが2018年2月6日。検知まで時間がかかったのは大きな問題ですが、その手口を見れば、“なぜ、見つからなかったのか”という点に少しは納得がいくでしょう。

 というのもこの攻撃は、よくあるような「(マルウェアを送り込むために)添付ファイル付きスパムメールを無差別に送信する」ものでも、ましてや「何らかの形でネットワーク上の弱点を突く」ものでもなかったのです。その第一手は、「クラウドサービスとして産総研の外部にあったメールシステムのアカウントに対する、継続的な不正アクセス」でした。

 「つまり、何をやったの?」という人に詳しく説明すると、その内容は「誰でも表示可能なオンラインのログイン画面に、IDとパスワードを入力する」――たったそれだけでした。攻撃者はこの方法で、2017年10月27日から31日までに、9人の職員のアカウントに不正にログイン。そこから全職員のログインIDを手に入れます。第1次攻撃の時点で、攻撃者は100人分のアカウントに対する不正ログインに成功しました。

photo 産総研における不正アクセスの侵入経路概略図(「産総研の情報システムに対する不正なアクセスに関する報告」から引用)

 さて、ここで1つ疑問が生まれます。最初の不正ログインの前に、攻撃者はどうやって職員のIDとパスワードを知ったのでしょうか。産総研では、ログインIDを各職員が任意の文字列で設定していましたから、いわば“パスワードが2つあるような”認証体制を確保できていたと考えていたようです。しかし実際には、全てのIDを攻撃者に知られ、あろうことか100人分のパスワードまで突破されてしまいました。

 この報告書では、

大量のIDを特定された時期が、メールシステムへの不正ログイン被害の第1、第2段階の後であることから、第1段階で1人の一般ユーザーに不正ログインされた結果、何らかの方法を用いて、全IDのリストを窃取された可能性が仮説として考えられた。攻撃対象となったIDには、その直前の時期に新規登録されたアカウントのIDが含まれていたことから、過去に漏えいしたデータに基づくものではなく、直前に窃取されたものが直ちに利用されたと推定できる。

第1次攻撃の被害アカウントの利用者に聞き取り調査を行ったところ、設定されていたパスワードは、キーボード配列をなぞっただけの安易なものが大半を占めていた

 とあります。

 つまり攻撃者は、最初にメールシステムへ不正にログインした際、何らかの方法で全職員のIDを手に入れます。その後、大量のパスワードを打ち込む段階で、典型的な「弱いパスワード」が奪われ、攻撃の入り口になったのです。

訂正:2018年8月1日の公開時、「攻撃者は“全職員のログインID=メールアドレス”を手に入れた」と記載していましたが、実際は、産総研で当時使われていたIDは職員が任意で決めた文字列でした。修正し、お詫び申し上げます。(2018年8月2日 編集部)

 攻撃者は、奪ったID/パスワードの組み合わせを使って、メールシステムと共通のログイン情報を使っていたファイル共有システムへ侵入。不正なアクセスを成功させます。次に、メールの内容からファイルサーバを特定し、システム内部の重要なサーバへも不正アクセスを成功させました。

 「メールのアカウントを奪われる」ということは、攻撃者にシステムのさまざまな情報を伝えてしまう、ということに他なりません。この報告書はそんな、皆が「もう知ってる」と思い込みがちな知識の重さを教えてくれる、大変良い資料といえるでしょう。

 そしてもう一つ、報告書の中で“ある一文”が非常に気になりました。

Copyright © ITmedia, Inc. All Rights Reserved.

注目のテーマ

マーケット解説

- PR -