変わり始めるWeb攻撃 背景に潜むウクライナ侵攻と”ハイブリッド戦”の影:「見えないWeb攻撃」──情報漏えい対策の盲点(3/3 ページ)
ハイブリッド戦の影響が世界に波及する中で、サイバー空間でいま何が起きているのか。緊張の高まる台湾およびアジアの情勢を前に、民間企業はどう備えるべきか。変わりつつあるWeb攻撃の傾向などを基に、浮かび上がったハイブリッド戦の影について考察する。
Webアプリへの攻撃を手順化 判明したランサムウェアグループの手口
このようなサーバ乗っ取り型攻撃の増加は、激動する国際情勢と関連付けることもできる。アカマイでは、親ロシアの方針を掲げたランサムウェアグループ「Conti」から流出した内部情報の分析を試みた。その結果、彼らが標的とする組織の内部への侵入の足掛かりをつくるために、Webアプリケーションへの攻撃を標準的な手順に組み込んでいた事実を改めて確認できた。
分析によると、彼らはまずインターネットからアクセスできるWebアプリケーションの脆弱性をツールでスキャンする。結果を基に有効な攻撃をサーバに仕掛け、サイトの管理者や従業員の認証情報を収集。ログインできるアカウントを見つけ、サーバを自由に操作できるよう権限の昇格を試みるという。具体的には次のような手順がグループ内で共有されていた。
- 「Apache Tomcat」のスキャン:ファイアウォールなどの境界を越えてマルウェアを組織内に侵入させるために利用可能な脆弱性(CVE-2019-0232)を持ったApache Tomcatサーバを探索する。
- Outlook Web Access (OWA):標的の組織内部にフィッシングメールをばらまくために、インターネットからアクセスできるOutlookのWeb UIを狙い、脆弱性攻撃やパスワードブルートフォースを仕掛けて利用する。
- SQLインジェクション:ユーザー入力が可能なWebサイトを探索し、SQLインジェクションを試みる。機密情報(ログイン情報、ユーザー情報、機密データなど)を取得し、さらにストアドプロシージャ(データベースに対する処理をまとめ、データとまとめて保存すること)の仕組みを利用したOSコマンドの実行や、マルウェアの配布も試みる。
落とし穴は防御する側の想定に 狙われるB2Bサービス
一連の手口は攻撃手法としては既知であり、特別なものではない。だが、落とし穴は防御する側のアタックサーフェス(攻撃対象となる領域)の認識に潜んでいる。
攻撃の対象になるのは、これまで顧客の個人情報保護のため優先して対策が取られてきた、ECなどの一般顧客向けのB2Cサービスやアプリだけではない。ランサムウェアによる組織内への侵入と破壊的な活動という最終目的にたどり着くには、むしろB2Bサービスやアプリの方が都合が良いかもしれない。
例えばOWA(Outlookサーバ)のような業務系システムや、Webベースの分析、受発注システムなど、クラウド化されたビジネス向けのWebサービスを狙うと考えるのが自然だろう。いずれも、従業員・取引先をはじめとしたサプライチェーンの情報が蓄積されているはずだ。
現に国内では、21年にWebベースのファイル共有サーバ「FileZen」への攻撃で内閣府の職員のアカウント情報などが窃取された。他にもプロジェクト情報共有ツール「ProjetWEB」を利用していた経産省、NISCをはじめ、国交省、外務省などの情報が流出した可能性が明らかになっている。残念ながら、これらの業務系のWebアプリケーションが高度なセキュリティに投資する水準は、B2Cサービスに比べてまだまだ低いのが実態だ。
静かに始まるハイブリッド戦への備えは?
アジア情勢においても、ペロシ米下院議長の台湾訪問後に台湾政府機関へのDDoSが観測された。当事国はもちろん、周辺国のサイバーセキュリティの責任者にも、ロシアのウクライナ侵攻という前例を踏まえた備えが求められる。必要なのは「宣戦布告のない戦争」が常態化した世界を前提にして、これまでの戦争と「静かに、しかし着実に始まっているハイブリッド戦」との違いを理解することだ。
報道においても、単なるサイバー攻撃による報復と断じるのではなく「認知戦」で世論を操作する意図が隠れている可能性を踏まえ、冷静な受け止めが必要だろう。
日本政府は、中国やロシアからのサイバー攻撃の増加を念頭に、防衛産業の機密漏えい対策を後押しする方針のようだ。通信システムにサイバーセキュリティ対策をした防衛関連企業への税制優遇を検討することが報じられている。2023年度予算の概算要求や与党税制改正大綱に反映し、23年の通常国会へ関連法案の提出を目指すという。
しかし、繰り返しになるが実際攻撃の対象になっているのは、防衛関連の組織や企業だけではない。ウクライナ侵攻との因果は立証できないものの、日本でも防衛関連以外の重要インフラ事業者へのDDoSの試行や、製造業のサプライチェーンを破壊するランサムウェアなどの動きが目立ってきている。ウクライナ戦の混乱に便乗した、第三国からの攻撃の可能性も考えておくべきだろう。
東欧のシリコンバレーともいわれたウクライナでは、ロシアによる侵攻の何年も前から国家を相手にしたサイバー攻撃に対抗する準備を進めてきたという。一方で、緊迫感を増す東アジア情勢を前に、われわれは十分準備できているだろうか。
漠然と膨らむ不安を暴走に変えないためにも、まだ目に見えていない攻撃や、攻撃の変化に目を凝らし、事業継続にそれらが与える影響と社会の混乱を抑止していくためのサイバー戦略の見直しが急務ではないだろうか。
関連記事
- ランサムウェアグループ、ロシア政府支持を一時表明 ロシアを標的としたサイバー攻撃に「持てるリソースを全て注ぎ込み報復」
ランサムウェア「Conti」を開発する犯罪グループが、ロシアとウクライナの情勢についてロシア政府を支持する声明を発表した。 - ウクライナ巡るサイバー空間の攻防、ロシアの「控えめな攻撃」に驚く声も そのワケは?
ロシアによるウクライナ侵攻に伴い、サイバー空間でも緊迫した状況が続いている。専門家たちはロシア支持とウクライナ支持に分かれて攻防を展開しているが、当初危惧されたほどの破壊的なサイバー攻撃は起きていないことから、ロシアの内情を巡り臆測も飛び交う。 - ウクライナ侵攻で、闇社会にも分断 親ロシア派と親ウクライナ派に分かれるサイバー犯罪集団
ロシア軍のウクライナ侵攻が、闇社会にも分断を引き起こしている。サイバー犯罪集団が情報交換や取引の場として利用するロシア語の闇フォーラムでは、犯罪集団が親ロシア派と親ウクライナ派に分かれる「前例のないイデオロギー分断」が生じている。 - ロシアの大規模ボットネット「RSocks」、米英独蘭が解体
米司法省はロシアの大規模ボットネット「RSocks」のインフラを解体したと発表した。世界中の何百万ものPC、Android端末、IoT端末が組み込まれていた。FBIが2017年から覆面捜査していた。 - Microsoft、ロシアによるウクライナ侵攻に伴うサイバー攻撃について詳解 支援国にも警告
Microsoftは、ロシアとウクライナの「ハイブリッド戦争」におけるロシアのサイバー攻撃についてのレポートを公開した。ウクライナ侵攻直前から数百回の作戦が実行されているとしている。ウクライナ支援国への攻撃の可能性もあると警告している。
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.