「お名前.com」への不正アクセス事件~何がどう改ざんされたの??~
コインチェックのドメイン情報が改ざんされ、メール情報が流出した事件がありました。
『暗号資産(仮想通貨)取引所を運営するコインチェックは6月2日夜、同社が利用するGMOインターネットのドメイン登録サービス「お名前.com」のアカウントで不正アクセスが確認されたと発表した』*1 。
被害はそれほど大きくなく、流出した可能性があるメールは5月31日から6月1日の間に同社宛てにメールを送ったユーザー約200人分のメール情報だそうです。脆弱性は「お名前.com」側にあり、同様の手口でビットバンクも被害を受けました*2 。話題となったドメイン登録情報ですが、具体的にどのようなもので、何がどう改ざんされたらメール情報が流出するのでしょうか。まとめました。
今回のドメインハイジャックではコインチェック公式のドメインネームサーバ(DNS)に似せた偽物のDNSを攻撃者が用意したことが予想されます。偽物と気付かれないよう、本物のドメイン名に酷似したドメインをわざわざ取得し、用意しておきます。
この、本物に似せたDNSを用意し誘導する攻撃は"ホモグラフ攻撃"と呼ばれており、比較的メジャーです*3 。フィッシングメールなどでよく使われています。
例えば、
正:google.com
偽:googIe.com ← 小文字l(エル)が大文字のI(アイ)になっている
正:yahoo.co.jp
偽:уahoo.co.jp ← 小文字y(ワイ)が、キリル文字のу(ウー)になっている
とか。
肉眼ではほぼ回避できません。
いや、そんなのドメインの登録の時点で却下しとけ!なんて思いますが、普通に通ってしまうものなんですこれが。そうして攻撃者の用意した偽物の、ドライブバイダウンロード満載のサイトに誘導されたりします。
そんな、「正規ドメインに酷似した偽装ドメイン」を、webクローリングによって発見、サイト閉鎖まで追い込むサポートをしてくれるイスラエル製品、「Segasec」というイスラエル製品を弊社ではご紹介できます。
現在は「Mimecast」というデータセキュリティベンダーに買収されましたが、機能は健在です。フィッシングによる被害が拡大する今、求められている機能ではないでしょうか。サイト提供者必見です。
https://www.mimecast.com/
セキュリティニュース(国内編)「フィッシングURL件数、5月も4000件台と高水準」
コロナウイルスに便乗したフィッシングが流行していましたが、勢いがとどまるところを知りません。
中でも「Amazon」を語るフィッシングが多く報告されているようです。自粛の影響で買い物に行けず、ネットショッピングをする人が増えた影響でしょうか。
フィッシングURL件数、5月も4000件台と高水準 - 報告件数は1.4万件超に
『5月にフィッシング対策協議会へ寄せられたフィッシングサイトのURL件数は減少した。一方で報告件数は前回を大幅に上回り、再び最多記録を更新している。』*4
フィッシング詐欺は2020年上旬から特に活発になっています。特に報告件数は毎月2,000 ~ 3,000件ずつ増加しています。
フィッシングサイトのURL件数こそ前月から少し減少しましたが(警察の努力の成果?)、一年前と比べると3倍以上になってしまっています。かなり盛り上がっております。首相官邸や新聞社も標的になっており、Twitterで注意を呼びかけているようです*5 。
偽物の見分け方についても言及されていますが、専門的な知識がないエンドユーザが注意して見分けることは相当に困難です。
従ってサイトを提供する側が対策をする必要がありますが、自分の真似をしている偽サイトを地道に見つけ出しては削除を要求するという対処を繰り返し続けることは大変コストがかかり現実的ではないため、前述の「Mimecast」のようなソリューションが役に立ちます
NTTコムに不正アクセス 法人の工事情報が漏えいした疑い
『NTTコミュニケーションズは5月28日、自社のサーバ設備が外部から不正アクセスを受け、一部の情報が漏えいした可能性があると発表した。漏えいの可能性が分かっているのは法人の工事に関する情報で、現在までに顧客管理情報や個人情報の漏えいは見つかっていないとしている』*6
細かいポイントは違いますが、大まかなシナリオとしては三菱電機の件と似ているように思えます。
- 海外拠点のサーバに侵入
- このサーバを踏み台にし、日本拠点のサーバへ侵入
- 横展開し、情報を搾取
特に、3においてはADサーバを利用した疑いもあり、ADサーバから正しく情報がとれていれば横展開し放題です。
こういったシナリオが日本ではどんどん増えてくるので、対策を打つ必要がありますね。
セキュリティニュース(海外編)「注目されるEKANSと、類似機能を持つランサムウェアMegacortexについて」
2020年6月9日、ホンダがサイバー攻撃によりシステム障害が起こっていることが報じられました*7 。
日本のみならず、海外でも注目を浴び、ロイター通信*8 やBBC *9 でも取り上げられています。
ホンダというブランドや各国の拠点の工場が停止したことはもちろんですが、サイバーセキュリティの観点も相まってより注目されました。なぜサイバーセキュリティの観点でも注目されたかというと、報道の前日、マルウェア検査サイトVirus Total上に、ホンダを狙ったとされるマルウェアがアップロードされたことによります。
各国のセキュリティアナリストらが当マルウェアを調査した結果、ランサムウェア「EKANS」の亜種であること、さらにコード内にホンダに関するホスト名が確認されたことから、EKANSランサムウェアによる被害ではないかという予想が立ちました(調査当時は、攻撃の詳細は明かされていなかったため、あくまで予想となります)。
また、ほぼ同日にアルゼンチンのエネルギー企業Enel Argentina傘下のEdesur社も同様にサイバー攻撃の被害を受けたことから、この攻撃が本格的な標的型攻撃であったと周知されたことが、より注目された一因ではないかと思われます。
今回は、今注目のランサムウェア「EKANS」をMalwareBytes社が公開している記事*10 を交えて紹介します。そのほか、EKANSと似た機能を持つ標的型ランサムウェア「Megacortex」についてもご紹介します。
EKANS
【EKANS概要】
EKANSは2019年12月に発見され、2020年1月に公表された、産業制御システム(ICS:Industrial Control System)、つまり工場や石油、電力系を標的とするランサムウェアです。EKANSという命名理由は、暗号化したファイルの末尾に「EKANS」という文字列を付与することからと言われています(逆から読むとSNAKE(蛇)のため、SNAKEランサムウェアとも呼ばれることも)。
EKANSはファイルを暗号化するランサムウェア機能に加えて、一般的なプロセスやICSに関するプロセスを停止させるという特有の機能を持ちます。これにより、ICSが停止すること自体の大きな損失と、復旧にも多大な時間とコストが掛かることから、EKANSは産業系に対して非常に大きな損害を与える脅威的なランサムウェアとなります。
【今回確認されたEKANSの亜種】
MalwareBytes社のレポートによると、今回注目されているランサムウェアは、EKANSの亜種とされ、侵入先の内部サーバと思われるホスト名の名前解決を行うプロセスが確認されています。
このホスト名には、ホンダとEdesur社のそれぞれに対応したサーバのホスト名が指定されていたことから、この2社それぞれに対する標的型攻撃であることが強く予想されました。
さらに、内部サーバのホスト名がコードに組み込まれていたことから、高度なソーシャルエンジニアリングや長期的な偵察行動などを入念に行われていたと思われます。また、両社の共通点として、RDPによるアクセスが公開されているマシンが幾つか存在していたことも指摘されており、これが侵入経路として悪用されたのではないかとの予想も立っております(こちらもあくまで予想の範疇となります)。
侵入方法はいずれにせよ、一度EKANSが実行されると多大な損害が発生することから、EKANSが実行されるまでに、いかにして攻撃を特定・防止するかが重要となります。
Megacortex
【Megacortex概要】
2019年5月に発見された、大企業を標的にするランサムウェアです*11 *12 。語源は、暗号化したファイルの身代金メモの内容が、映画「マトリックス」の登場人物の口調に似せていること、文中に「マトリックス」の主人公が働くMetacortex社の綴り間違い「Megacortex」が記載されていたことです。
Megacortexは感染方法が非常に高度であり、より多くの感染するために高度な自動化が行われていたことから、強力なランサムウェアとして注目されました。
【Megacortexの感染について】
Megacortexの感染には、マルウェアローダ(ドロッパー)のRietspoofやEmotet、Qbotなどが利用されていると疑われています。
Emotetは今年の1月に日本でも多数の被害が発生したことから、記憶に新しいですね。また、感染のためにドメインコントローラ(DC)を狙う機能も持ち、DCを利用することでより多く端末に感染させることを試みます。
DCに侵入するための認証情報は、Emotetなどの情報取集ツールやソーシャルエンジニアリングなどにより事前に搾取していることから、より確実に攻撃を成功させる標的型攻撃となります。
【Megacortex感染後】
DCへの侵入によりMegacortexを感染・拡散した後は、Megacortexが難読化されたPowerShellスクリプトを実行し、大量のプロセスやサービスの強制終了あるいは停止させるうえにサービスのスタートアップ時の起動を無効にします。
この停止処理の存在により、Megacortexの実行に成功すると業務やサービスの強制停止に追い込まれるうえ、多大な復旧コストも発生します。多大な損害となることが安易に想像できます。
この停止させるサービスの中には、老舗のAVソフトなども含まれ、確実に暗号化処理を完遂するための工夫が施されています。このように、EKANSとアクティビティが似ていることが分かり、EKANSを発見したDragos社*13 からもMegacortexとの類似性が指摘されています。
サービスやプロセスの停止後は、ランサムウェアとしての暗号化処理を行い、映画「マトリックス」の登場人物の口調に似せている身代金メモを残します。
【考えうる対策】
Megacortexは世界各地で猛威をふるい、現在はバージョン4にまでアップデートを重ねていることから、今もなお脅威としてあり続けています。
対策として、Megacortexはドメインコントローラへの侵入により感染先を増やすことから、DCへの侵入リスクを低減するために2要素認証用いることがあげられます。さらに加えるなら、入念な偵察行動により奪取されても悪用できないような認証情報を用いることが望ましいです。
また、EKANSとMegacortexはともに単一で攻撃が成功するのではなく、必ずこれらを感染させるためのプロセスが存在します。そのため、これらのランサムウェアに感染する前に防止することが重要となります。例えば、マルウェアドロッパーの実行をブロックするマルウェア対策ソフトの利用や、インターネットから直接RDPでアクセスせずに、セキュアにリモートアクセスできる仕組みを構築することなどが挙げられます。
■ 関連リンク・引用
*1: コインチェックを標的にまた攻撃 個人情報漏えいの可能性, ITmedia, 2020/06/15
*2: ビットバンクでもドメイン情報改ざん - 取引所とは別ドメイン, Security Next, 2020/06/15
*3: 「ホモグラフ攻撃」って?,せぐなべ, 2020/06/15
*4: フィッシングURL件数、5月も4000件台と高水準 - 報告件数は1.4万件超に, Security Next, 2020/06/15
*5: 偽サイトが大量発生 首相官邸や新聞社も標的に 見破り方と、マネされない方法とは?, ITmedia, 2020/06/15
*6: NTTコムに不正アクセス 法人の工事情報が漏えいした疑い, ITmedia, 2020/06/15
*7: ホンダ、サイバー攻撃でシステム障害 海外4工場が稼働停止, Yahoo! Japanニュース, 2020/6/16
*8: Honda hit by cyber attack, some production disrupted, REUTERS, 2020/6/16
*9: Honda's global operations hit by cyber-attack, BBC, 2020/6/16
*10: Honda and Enel impacted by cyber attack suspected to be ransomware, Malwarebytes LABS, 2020/6/16
*11: "MegaCortex" ransomware wants to be The One, Sophos News, 2020/6/16
*12: 標的型攻撃ランサムウェア「MegaCortex」の内部構造を紐解く, MBSD, 2020/6/16
*13: EKANS Ransomware and ICS Operations,, Dragos, 2020/6/16
