サイバーセキュリティ演習の分類について(番外編)

 こんにちは。Armorisでいろんな案件にたずさわる川崎です。昨年、とある組織を対象とした経営層向けサイバー演習プロジェクトについて、このブログでその概略をご紹介させていただきました。その中で、他の形態の演習プログラムも提供していることについて少し触れましたが、今回のブログでは弊社が提供する各種演習プログラムについて、その概略や狙い、主な想定受講者層等について、比較しながら簡単にまとめたいと思います。

動画を用いたセキュリティワークショップシリーズ

 サイバーインシデント・情報セキュリティインシデント事案をドラマ形式の動画を視聴しながら優しく学ぶシリーズ。動画のシーンごとに自分の考えを発言する機会を設けていますので、受講者自らの思考を鍛錬する効果も期待できます。
※想定受講者の異なる2つの講座があります
詳細はこちら
https://www.armoris.jp/top/service/group/respons-exp

参加人数:5人程度×3グループ【共通】
実施に必要な時間:
2時間程度(サイバー)
1時間程度(情報セキュリティ)
特にお薦めする組織:

  • セキュリティ部門の育成を図りたいと考えている組織(サイバー)
  • 一般従業員のセキュリティリテラシの向上を図りたいと考えている組織(情報セキュリティ)

 

DOJO CORE

 架空の組織を舞台として、その組織のメンバーとして発生したサイバーインシデントへの対応を行う机上演習です。参加者は演習事務局から提示された状況付与に基づき、必要なアクションを検討して実施します。 ※参加者が自らログ分析を行うAタイプと、参加者がログ分析をシステム保守事業者に指示するBタイプの2種類があります
詳細はこちら
https://www.armoris.jp/top/service/group/dojo-core

参加人数:5人程度×3グループ
実施に必要な時間:5時間程度
特にお薦めする組織:セキュリティ部門の育成を図りたいと考えている組織

経営層向けサイバー演習支援サービス

 自組織の特定のサービス、事業、エリア、部門等でサイバーインシデントが発生したことを想定した経営幹部向けの机上演習です。単なる技術的なサイバーセキュリティの観点のみならず、ビジネスインパクト、事業継続、対外的なリスクコミュニケーションといった、経営幹部が対応すべき様々な事項についてシミュレーションを行います。
詳細はこちら
https://www.armoris.jp/top/service/group/exercise-executive

参加人数:ASK
実施に必要な時間:ASK
特にお薦めする組織:サイバーセキュリティ上の課題を経営視点で洗い出したいと考えている組織

演習サービスまとめ

 上記のとおり、Armorisはサイバーセキュリティに係る多種多様な演習プログラムを提供しております。「サイバー演習」とは、自組織におけるサイバーインシデント発生時の対応体制の過不足の検証や課題の洗い出しを行い、改善を行う取り組みの一つです。是非、こうしたプログラムをご活用いただき、組織のサイバーレジリエンス向上につなげるお手伝いができましたら幸いに思います。
ご不明点などございましたら、下記お問い合わせフォームからお気軽にご相談ください。
株式会社Armoris - お問い合わせ

OSINTBuddyで調査する(実践編)

このブログは、株式会社ArmorisアルバイトのShaderoが書いています。

あるもりすぶろぐの内容は個人の意見です。


はじめに

今回は、OSINTBuddyというオープンソースで開発されているOSINTツールを使って実際のフィッシングサイトを調査します。この調査を通じて、OSINTBuddyの現時点での実用性を紹介します。

OSINTBuddyのバージョンが変わった影響で手順は若干変わっていますが、環境構築については前回の記事をご参照ください。

Entity一覧

OSINTBuddyでは、標準でいくつかのEntityが用意されています。用意されているEntityは以下の通りです。

名前 説明
CSE Result Google カスタム検索の検索結果を表すEntity。
CSE Search Google カスタム検索を用いて検索するためのEntity。
DNS ドメインDNSレコードが格納されたEntity。このEntityから、IP Entityに変換できます。
Google Result Google検索の検索結果を表すEntity。
Google Search Google検索を用いて検索するためのEntity。
IP IPアドレスを表すEntity。IP Geolocation等に変換できます。
IP Geolocation IPアドレスから取得した位置情報。
Subdomain サブドメイン名を表すEntity。
Telegram Websearch Telegram内で検索するためのEntity。内部実装では検索にCSEを使用しています。
URL URLを表すEntity。Website Entityに変換できます。
Username ユーザ名が格納されているEntity。
Username Profile ユーザ情報を表すEntity。カテゴリ名とサイト名、URL、ユーザ名を格納できます。
Website ドメイン情報を表すEntity。IPアドレスWhois情報等を取り出せます。
Whois 指定ドメインWhois情報を表示するEntity。

一部Entityでは、新しい情報を外部から収集することが出来ます。例えばDNS Entityでは、指定ドメインDNSレコードに紐付けられたIPアドレスを取得することが出来ます。

新しい情報を外部から収集することが出来るEntityは以下の通りです。また、現時点では収集機能が正常に動作しないEntityもあるため、その点についても記載します。

名前 情報収集機能の有無 動作の可否
CSE Result × --
CSE Search
DNS
Google Result × --
Google Search ×
IP
IP Geolocation × --
Subdomain × --
Telegram Websearch ×
URL × --
Username
Username Profile × --
Website × --
Whois × --

動作の可否を△としたIP Entityでは、IPアドレスから位置情報を取得する機能は正常に動作しましたが、IPアドレスからドメインや、サブドメインを逆引きする機能が正常に動作しませんでした。

なお、構築した検証環境での結果のため、他環境では結果が異なる場合があります。

OSINT調査

それでは実際にOSINTBuddyを用いて調査を行います。今回は、OSINTによって該当フィッシングサイトの情報を収集し、その情報を元に他フィッシングサイトを収集するという流れで調査を行います。

なお、調査に必要になるグラフは作成済みとします。グラフの作成方法等は前回の記事をご覧ください。

環境

今回の検証で用いる環境は以下の通りです。 基本的にOSINTBuddyはサーバ側で動作させ、クライアント側からアクセスする形で使います。

また、予め3000ポートと8000ポートをクライアント側にフォワーディングしています。

ssh username@serverIP -L 3000:localhost:3000 -L 8000:localhost:8000

サーバ

Name Value
OS Ubuntu 22.04
OSINTBuddy v0.1.0

クライアント

Name Value
OS Windows 11
Browser Microsoft Edge

フィッシングサイトの情報を収集する

OSINTBuddyのグラフを用いて、フィッシングサイトの情報を収集します。

Website Entityに、フィッシングサイトのFQDNを入れた後、Entityを右クリックして、情報を収集します。

本来は、IPアドレスGoogleの検索結果、Whois情報、DNS情報の4つがWebsite Entityから取得できるはずなのですが、不具合によりIPアドレスWhois情報しか取得できませんでした。

その後、取得できた情報から、さらに収集した結果が以下の画像になります。

他フィッシングサイトを見つける

先ほどの工程で、フィッシングサイトの情報を収集しました。ここでは、その情報を元に他フィッシングサイトを見つけます。

収集したIPアドレスを紐付けている別ドメインを収集することで、他フィッシングサイトを見つけたいのですが、OSINTBuddyにはその機能が用意されていませんでした。そのため今回は、VirusTotalを用います。

先ほど収集したIPアドレスVirusTotalに入力した結果、紐付けられているドメインを10件取得できました。

OSINTBuddyを使って、VirusTotalから取得したドメインから情報を収集します。

IPアドレスは取れたものの、ほとんどのドメインWhois情報を取得できませんでした。ログを見ると、Whois情報取得の過程でCAPTHA認証を求められた事がWhois情報取得失敗の原因でした。

またIPアドレスが同じでも、別Entityとして登録されており、これらを纏める事が出来ませんでした。OSINTにおいて、同一情報を纏める事は重要なので、現状の機能では実用性に欠けると感じました。

おわりに

今回は、OSINTBuddyを用いて実際のフィッシングサイトを調査しました。

調査の過程で、不具合が多い点が気になりました。具体的には、Website EntityからDNS情報、Google検索結果を取得できない点や、Whois情報の取得に失敗するケースがある点などです。また同一Entityを纏める機能や、VirusTotalと連携するPluginが無い点も気になりました。

現状では実用性に欠けると感じましたが、Web上でOSINTが行える点やOSSである点は大きなメリットです。今後のアップデートに期待したいです。

特定期間に発生したインシデントとその報道されたニュースとかのリンクをまとめたもの18

このブログは別の場所でSOCにも携わっている経験のある株式会社Armorisのseanが、本人の興味範囲に基づいて収集したサイバーセキュリティ関連の出来事をまとめたものです。
各出来事に関するコメントは個人の意見です。

サイバー世界情勢

地域的なサイバーセキュリティの話題。サイバー攻撃の話題の場合は、攻撃を受けた側の地域別に分類。地域分けが間違っていたらご容赦ください。

アジア

12/4

12/7

12/8

12/11

12/14

12/16

北米

12/15

12/29

ヨーロッパ

12/4

12/7

12/8

12/13

12/29

中東

12/14

12/16

12/29

アフリカ

12/20

12/27

脆弱性関連

12/4

12/7

12/8

12/11

12/12

12/13

12/29

分析手法、ツール関連

12/7

12/8

12/11

12/14

12/15

12/16

12/29

解析・分析・研究記事

マルウェア

12/4

12/5

12/8

12/15

12/16

12/19

12/21

12/25

攻撃手法

12/27

フィッシング

12/14

APT

12/5

12/6

12/8

12/15

12/16

12/26

ランサムウェア

12/4

12/22

悪意あるパッケージ

12/7

Bot

12/29

マルバダイジング

12/5

RAT

12/25

インフォスティーラー

12/26

ローダー

12/29

悪意あるプログラムのアプリストア配布

12/6

偽のアップデートメッセージ

12/11

認証情報窃取

12/8

OAuthの悪用

12/14

スミッシング

12/20

SMTPスマグリング

12/19

HTMLスマグリング

12/7

偽のセキュリティアドバイザリ

12/5

偽のブラウザ機能拡張

12/25

サイドチャネル攻撃

12/8

Javascript Web インジェクション

テイクダウン・逮捕

12/4

12/12

12/14

12/21

12/25

レポート・まとめ

12/4

12/5

12/6

12/8

12/13

12/16

12/19

12/21

12/27

12/29

官公庁・組織・団体公表

NASA

12/28

経済産業省

12/22

IPA

12/20

JC3

12/28

OT

12/8

12/12

12/16

システム・セキュリティ業界の動向

Apple

12/13

Google(Android)

12/14

Microsoft

12/14

攻撃側の動向ほか

12/12

業界別インシデント

金融・証券・保険・ローン

12/22

12/29

暗号資産

12/15

会計

12/25

製造

12/6

12/11

12/20

自動車関連

12/7

12/8

12/13

サービス

12/21

情報

12/4

12/5

12/16

12/21

12/28

教育

12/4

12/11

12/12

12/29

医療・医薬・ヘルス

12/8

12/16

12/27

12/28

バイオ

12/5

食品、飲料

12/16

12/28

小売、卸売

12/8

12/11

12/14

電気機器

12/26

12/28

出版、書籍販売

12/13

12/25

ゲーム

12/12

12/14

12/25

  • UBISOFTの約900GBものデータが危うくハッキング、セキュリティチームが防衛成功

12/28

放送

12/20

メディア

12/25

官公庁、国家・公的機関

12/5

12/11

12/15

県立機関・組織

12/26 

農業

12/19

協会

12/5

12/20

独立行政法人

12/28

航空・宇宙

12/5

宿泊

12/4

  • 【重要なお知らせ】不正アクセスによりお客様の個人情報が第三者に閲覧された可能性とフィッシングサイトに誘導するメッセージ配信についてのお詫びとお知らせ(ホテル八重の翠東京)

宝くじ

12/28

セキュリティ

12/8

SBOM関連

12/13

12/26

啓蒙・教育・人材関連

12/4

12/6

12/22

12/26

12/27

サプライチェーン関連

12/14

気になった記事

12/7

12/8

12/11

12/12

12/19

12/25

現実世界がサイバー空間に与える影響――ウクライナ侵攻とハクティビストの動き

 こんにちは、Armoris 広報の酒井です。エストニアのサイバーセキュリティの権威で、Armorisの協力メンバーでもあるRain Ottis(レイン・オッティス)が、2023年12月、企業向けに講演。現実世界がサイバー空間に与える影響について、2023年11月11日時点の情報を語りました。今回は、ウクライナ侵攻におけるハクティビストの動きについて、Rainが語ったエッセンスを紹介します。(以下は、Rainによる講演内容の要約です)

レイン・オッティス(Rain Ottis)――タリン工科大学サイバーオペレーション学科教授で、以前は、NATO Cooperative Cyber Defence Centre of Excellenceとエストニア国防軍に勤務していました。

政府の指示で動く”ハクティビスト組織”が存在する理由

 前回は、ウクライナ侵攻に関連する2023年11月時点の最新のサイバー空間の動きについて解説しました。ウクライナ侵攻に関して、もう一つ注目すべきは、ハクティビストの動きです。というのも、現在観測されている複数の”ハクティビスト組織”は、本来の言葉どおり、政治的なイデオロギーを持った集団かどうか、必ずしも明確ではないからです。

 中には、ロシア政府から指示を受けている、もしくは、政府の一部である可能性が指摘されている組織も存在しています。また、ウクライナのIT軍(注:ウクライナ側の立場でサイバー攻撃を行っているとされている組織)は主に志願兵で構成されていますが、私の知る限り、ウクライナの指揮系統にある程度統合されており、ウクライナ政府から指示や支援を受けているようです。そのため、ハクティビストという言葉が引用符で囲まれているのです。

 無所属のハクティビストの多くは、やがて飽きて他のプロジェクトに移る傾向があります。そのため、政府の支援を受けた”ハクティビスト組織”が必要とされているのかもしれません。

ハクティビストがもたらす軍事的効果は?

 ”ハクティビスト組織”の攻撃のほとんどは、DDoS攻撃への参加やさまざまな種類の改ざんなど、比較的単純なものです。そして、何らかのデータにアクセスできるようになると、相手を困らせるためにそれらを公開し、情報漏えいさせようとします。しかし、戦闘作戦への直接的な影響は、あるとしてもわずかなようです。したがって、こうした活動のほとんどは、情報戦の一部と見なされるべきでしょう。

 ここ数か月の間に、これらの”ハクティビスト組織”が「何らかのルールに従って行動しようとしている」という報道がいくつかありました。これが実際に起こるかどうかを観察するのは興味深いでしょう。例えば、赤十字は、「ハクティビズムにおいて従うべきいくつかのルールを提案した」と報じられており、これには「病院を攻撃すべきではない」といった内容も含まれています。一部の組織は、「ルールを念頭に置くよう努める」と述べているとされていますが、遵守されるとは言い切れないでしょう。

 さて、日本企業が知るべきは、ウクライナへの支援を約束した、あるいは支援を提供した一部の国もサイバー攻撃の被害に遭っているということです。

 全体として、ロシア・ウクライナ戦争とその中のサイバー紛争に関する今回の最新情報を要約すると、(2023年11月時点においては)サイバー攻撃は多くの専門家が予測していたような形では実現していないということです。つまり、軍事的な効果はほとんどないと見ていいでしょう。したがって、この戦争におけるサイバー攻撃は主に「情報操作」と「(報道されることで)注目を集めたい」というレンズを通して見るべきだと私は思います。ただし、決して安全だと高をくくってはいけません。

 次回は、ガザで展開中のサイバー攻撃についてです。

Evilgophishの検証

このブログは、最近AWSと格闘しているアルバイトのseigo2016が書いています。 あるもりすぶろぐの内容は個人の意見です。


はじめに

検証には自身で管理する環境を使用し、自己責任でお願いします。また、この情報を悪用することは絶対に行わないでください。
今回は、フィッシングメールや、標的型攻撃メールの訓練に有用なソフトウェアである、Evilgophishの検証を行いました。

概要

Evilgophishは、中間者攻撃フレームワークのEvilginx3と、フィッシングツールキットのGophishを組み合わせたソフトウェアです。
Evilgophishを使うことで、ソーシャルエンジニアリングや標的型攻撃メールの訓練やテストを行うことができます。

Evilginxについて

Evilginxは、セッションCookieと共にログイン認証情報をフィッシングする中間者攻撃フレームワークです。 Go言語で独自のHTTP及びDNSサーバーが実装されています。

Gophishについて

Gophishは、ペネトレーションテスト等向けに設計された、オープンソース(MIT License)のフィッシングツールキットです。 こちらもGo言語で実装されています。

Evilgophishについて

Evilginx3をソーシャルエンジニアリングの検証や調査に用いるためには、別途個別の追跡情報を取得・確認する機能や、実際にメールやSMSなどに送信する方法を用意する必要があります。

このEvilgophishでは、Evilginx3とGophishを組み合わせることで、キャンペーンの統計情報の取得・確認やメール・SMSの送信などが可能であり、更にそれらの情報をWebブラウザから確認することができます。

検証

検証環境構成

すべての環境はVagrant上に構築し、それぞれにローカルのIPアドレスを付与しています。

  • Evilgophish実行環境
    • Ubuntu 22.04 (generic/ubuntu2204)
    • ホスト名 : example.test
  • メールサーバー実行環境
  • WordPressサーバー実行環境
    • Ubuntu 22.04 (generic/ubuntu2204)
    • WordPress (6.3.2)
    • ホスト名 : wp.test

Evilgophish環境構築手順

cloneとセットアップ

git clone https://github.com/fin3ss3g0d/evilgophish.git
sudo ./setup.sh example.test example.test true google.com true user_id false

Evilgophishの検証

Evilginxの起動・設定

cd evilginx3
./evilginx3 -g ../gophish/gophish.db -p legacy_phishlets/ --developer

-developerをつけることで、developer modeが有効になり、自己署名証明書が発行されます。 -pオプションでlegacy_phishlets/ディレクトリを指定することで、legacy_phishletsディレクトリ以下のphishletsが読み込まれます。 -gオプションで連携するgophishのデータベースを指定します。

検証のために用意したWordpress用のphishletを使用し、legacy_phishletsディレクトリ以下に配置しました。 このphishletは同じく株式会社ArmorisアルバイトのShaderoが以前の検証で利用したものを使わせてもらっています。

author: '@armoris'
min_ver: '2.3.0'
proxy_hosts:
  - {phish_sub: '', orig_sub: '', domain: 'wp.test', session: true, is_landing: true}

sub_filters:
  - {triggers_on: 'wp.test', orig_sub: '', domain: 'wp.test', search: '{hostname}', replace: '{hostname}', mimes: ['text/html']}

auth_tokens:
  - domain: 'wp.test'
    keys: ['wordpress_logged_in_12913fd91550a6158ad37f2c7911fba9']
credentials:
  username:
    key: 'log'
    search: '(.*)'
    type: 'post'
  password:
    key: 'pwd'
    search: '(.*)'
    type: 'post'

login:
  domain: 'wp.test'
  path: '/wp-login.php'
config domain example.test
config ipv4 172.16.0.99
phishlets hostname wordpress example.test
phishlets enable wordpress
lures create wordpress
lures get-url 0

ここで表示されたフィッシングURLをgophish側で利用するため、保存しておきます。

gophishの起動・設定

今回は、gophishのダッシュボードにLAN内の別のマシンから接続するため、configのlisten_urlを書き換えています。

{
    "admin_server": {
        "listen_url": "0.0.0.0:3333",
        "use_tls": true,
        "cert_path": "gophish_admin.crt",
        "key_path": "gophish_admin.key"
    },
    "phish_server": {
        "listen_url": "0.0.0.0:8080",
        "use_tls": true,
        "cert_path": "gophish_template.crt",
        "key_path": "gophish_template.key"
    },
    "feed_enabled": true,
    "db_name": "sqlite3",
    "db_path": "gophish.db",
    "migrations_prefix": "db/db_",
    "contact_address": "",
    "logging": {
        "filename": "",
        "level": ""
    }
}
sudo ./gophish

起動に成功すると、初回ログイン用のユーザー名とパスワードが表示されます。 それを用いて、ブラウザからダッシュボードにログインします。

Email Templatesの作成

左側のメニューからEmail/SMS Templatesを選択し、New Templateボタンをクリックして、フィッシングメールのテンプレートを作成します。
本文内に{{.URL}}を設定することで、後で設定するEvilginxのフィッシングURLが挿入されます。

Email Sending Profilesの作成

左側のメニューからEmail/ Sending Profilesを選択し、フィッシングメールの送信に利用するSMTPサーバーの設定を行います。

Users & Groups の作成

左側のメニューからUsers & Groupsを選択し、New Groupから、フィッシングメールを送信するユーザーのグループを設定します。対象のユーザーの名前やメールアドレスを指定し、ユーザーを追加することができます。

Campaignsの作成

左側のメニューのLaunch Email Campaignからキャンペーンを作成します。
ここで、先程設定したEmail Template及びSending Profile、ユーザーグループを設定します。
また、evilginx URLの欄に、Evilginxで発行したPhishing URLを入力することで、先述のEmail Templatesの{{.URL}}の箇所にURLが挿入されます。

下部のProfitボタンをクリックすると、メールが送信されます。

今回はこのようなメールを送信しました。

キャンペーン状態の確認

送信後、ダッシュボードに戻ってくると、Email/SMS Sentが更新されています。 このように、グラフィカルにアクティブなキャンペーンの状態が確認できます。

また、画面下部のDetails欄に個別のメール送信先のStatusと取得した情報が表示されます。
受信したメールをユーザーがクリックすると、StatusがClicked Linkに更新され、クリックしたOS及びブラウザの情報と日時が表示されます。
その後、ユーザーがEvilginxで用意したフィッシングサイトにログインすると、Submitted DataCaptured Sessionのステータスが更新されます。

Details欄の該当ユーザーのタイムラインを見ると、用意したEvilginxのPhishletsでキャプチャするように指定した情報が取得できていることが確認できます。

Evilginx2と3の差異

セッショントークン関連

HTTP 応答パケットの本文や、Authorizationヘッダーなどからもセッショントークンを取得できるようになりました。

これまで、セッショントークンはHTTP Cookieとして送信される前提でしたが、最近ではJSONとして取得後、ローカルストレージに保存する流れも一般的であるためと説明されています。

config

configのファイルフォーマットがyamlからJSONに変更されました。一方で、phishletsはyamlのままです。

phishing sessions

有効なURLが開かれると、常にフィッシングセッションが作成されるようになりました。 これにより、ターゲットがURLを開く度にリバースプロキシセッションが新しく作成されます。

JavaScriptでのURLリダイレクト

これまでは、HTTP Locationヘッダーを通じてredirect_urlにリダイレクトしていました。しかし、この方法では、refererヘッダーを通じてフィッシングURLが宛先に公開されてしまっていました。今後はJavaScriptを用いてリダイレクトされます。

Evilgophishで攻撃された場合の検知方法

Gophishで送信したメールのX-MailerヘッダーにはIGNOREが設定されています。
X-Mailerヘッダーとは、送信者の使用したメールクライアントやそのバージョンなどが記載されたものです。
今のところ、このヘッダーの変更はOptionからは行えないようです。

今回送信したメールのヘッダー情報

最後に

今回はEvilginx2と3の比較と、Evilgophishの検証を行いました。
Evilginx3では、phishing sessions作成タイミングの変更やsession tokenを取得できる箇所の増加により、より柔軟に利用することができようになったと感じました。
また、Evilgophishを用いることで、メールテンプレートの作成や送信・統計情報の取得まで、ブラウザ上で容易に行うことができ、非常に有用であると思います。

「標的型攻撃による機密情報の窃取」は、IPAが公開している情報セキュリティ10大脅威 2023で、長年上位にランクインしています。Evilgophishを活用することで、標的型攻撃メール訓練の実施を簡単に行うことができます。

現実世界がサイバー空間に与える影響――ウクライナ侵攻とサイバー攻撃

 こんにちは、Armoris 広報の酒井です。エストニアのサイバーセキュリティの権威で、Armorisの協力メンバーでもあるRain Ottis(レイン・オッティス)が、2023年12月、企業向けに講演し、現実世界がサイバー空間に与える影響と2023年のサイバー紛争について、2023年11月11日時点の情報を語りました。今回は、ロシアによるウクライナ侵攻とサイバー攻撃について、ウクライナレジリエンスを高める契機となったインシデント、ロシアによるものとされるサイバー攻撃のあらましなど、Rainが語ったエッセンスを紹介します。(以下は、Rainによる講演内容の要約です)

レイン・オッティス(Rain Ottis)――タリン工科大学サイバーオペレーション学科教授で、以前は、NATO Cooperative Cyber Defence Centre of Excellenceとエストニア国防軍に勤務していました。

ウクライナ侵攻前からあった、ロシアによるサイバー攻撃

 2022年2月24日に始まったロシアによるウクライナ侵攻。しかし、実際には2014年のクリミア併合以来、両国は緊張状態が続いていました。

 例えば、2015年12月、ウクライナの電力網に対するロシアによるものとされる攻撃。首都キーウなどで大規模停電が発生し、約22.5万人に影響を与えました(この事件は、重要インフラへのサイバー攻撃によって停電が発生した世界初の事例だと言われています)。

 これは複雑で多層的なサイバー事件で、送電網へのアクセスを目的としたフィッシングやマルウェアの使用が含まれていました。OT用のハードウェアのファームウェアが侵害され、制御を取り戻すには、変電所を一カ所ずつ回って物理的に送電経路を切り替える必要がありました。さらに、電力会社のコールセンター機能を麻痺させる「TDoS(Telephony Denial of Service)攻撃」や、データを消去するためにマルウェア「KillDisk」が使用されるなど、ウクライナの復旧をより困難なものにしました。冬のウクライナの平均最低気温はマイナス4度。私の知る限り、この事件で命を落とした人はいなかったようですが、その可能性は大いにありました。

 もう一つ、非常によく知られたサイバー攻撃は、2017年の「NotPetya(ノットペトヤ)」と呼ばれるもので、会計ソフト「MEDoc」のソフトウェア更新の仕組みが悪用されました。当時としては比較的高度なマルウェアで、ウクライナの企業や団体に拡散されました。

地上より前に始まっていたサイバー空間の動き

 地上での侵攻が始まる直前の2022年1月から2月にかけては、サイバー空間で、これに関係するとみられる多くの事件が発生しました。つまり、地上より先にサイバー空間で動きが始まっていたのです。

 具体的には、ウェブサイトの改ざん、DDoS攻撃、ワイパー・ランサムウェアや他のタイプのマルウェアが非常に広範にわたって使用されました。再びウクライナの電力網を標的にした「Industroyer2」というマルウェアの使用も確認されましたが、幸い、この電力網への攻撃は早期に検知され、影響はありませんでした。

 しかし、2月24日の地上での侵攻が始まって1時間後、通信衛星ユーテルサット」を保有する通信衛星「KA-SAT」の地上局に攻撃があり、ウクライナだけでなく他の地域でも多くのシステムと組織がインターネット接続を失いました。ほとんど単なる迷惑行為で復旧可能なものでしたが、この状況で最初の数時間のうちに通信を失うことは壊滅的な影響を与える可能性がありました。ただ幸いなことに、ウクライナには代替の通信手段があり、防衛に致命的な影響はありませんでした。

影響し合う現実世界とサイバー空間

 サイバー空間の動きは、他の領域にも影響を及ぼしています。その一つがインフラを巡る争いです。要は、ケーブル、ルーター、アンテナなど、インターネットの物理インフラを制御する国が、この戦いでは明らかに有利なのです。第二に、電磁波の周波数帯の支配をめぐって非常に重大な対立が発生しました。これは主に電子戦の分野の問題ですが、周波数帯をコントロールできれば、通常では不可能なサイバー攻撃を起こせる可能性があります。また、経済制裁は明らかにロシアの戦争遂行に悪影響を与えました。国外からの輸入が規制されたことで、ハードウェアとソフトウェアの調達が制限されたのです。

 2022年から2023年にかけては何が変わったのでしょうか。注目すべき点は、多くの専門家の予想に反し、実際には大きな損害を与えるサイバー攻撃がほとんど発生していないことです。試みや攻撃の主張がなかったわけではありません。むしろさまざまな攻撃者が参加していますが、大きな被害は確認されていません。

ロシアによる標的型攻撃 法執行機関やメディア、エネルギー関連も標的に 

 ここからは、ロシアのAPT(標的型攻撃)のレベルに関してです。ここで紹介するのは、政府の情報機関がスポンサードする脅威グループのことで、2023年の主な標的は、ウクライナの法執行機関だったとみていいでしょう。

 彼らは戦争犯罪の証拠収集を妨害する試みに関係していると思われます。つまり、ロシア側は、ウクライナの法執行機関が後にロシアに対して裁判で使用する可能性のある証拠の収集を阻止しようと考えているとみられます。また、ウクライナのメディア企業に対するサイバー攻撃も観測されています。私はこれを大規模な情報キャンペーンの一環とみています。メディアへの攻撃は比較的単純です。DDoS攻撃を使用して、Webサイトをダウンさせるか、マルウェアを用いてシステムを内部から破壊するかです。

 最後に、ロシア側はエネルギーに関しても諦めていません。彼らはそこで足場を築き、エネルギーシステムを操作しようとしていますが、私の知る限り、今のところ大きな成功はありません。使用されている方法は比較的よく知られているもので、組織やシステムにアクセスするために、さまざまなフィッシングが行われています。

サイバー攻撃は何度も繰り返される 日本企業も警戒を

 ランサムウェアを含むマルウェアは非常に広範囲に使用されています。新しいものが次々導入され、情報戦の一部として使用されています。攻撃者が何らかのデータにアクセスできるようになると、データを漏えいさせようとします。重要なのは、こうした攻撃が一度や二度ではなく、何度も繰り返されているということです。

 日本の民間企業にとっても決して対岸の火事ではありません。つまり、攻撃されたことが分かり、システムをクリーンアップしたとしても、安全とは言えないわけです。攻撃者はあなたのシステムをある程度知っているため、何度も攻撃を試みるでしょう。そして、あなたの会社は攻撃を繰り返しやすい”簡単なターゲット”とみなされます。

 今回はここまで。次回は、ハクティビストの動きについてRainが語った内容をご紹介します。

特定期間に発生したインシデントとその報道されたニュースとかのリンクをまとめたもの17

このブログは別の場所でSOCにも携わっている経験のある株式会社Armorisのseanが、本人の興味範囲に基づいて収集したサイバーセキュリティ関連の出来事をまとめたものです。 各出来事に関するコメントは個人の意見です。

サイバー世界情勢

地域的なサイバーセキュリティの話題。サイバー攻撃の話題の場合は、攻撃を受けた側の地域別に分類。地域分けが間違っていたらご容赦ください。

今月は前月から引き続きヨーロッパと中東の記事が多いですね。

アジア

11/7

11/8

11/13

11/21

11/22

11/24

11/28

北米

11/7

11/22

ヨーロッパ

11/7

 

11/16

11/17

11/28

中東

11/7

 

11/8

 

11/10

11/15

11/20

11/28

11/29

11/30

オセアニア

11/7

11/13

アフリカ

11/29

脆弱性関連

数が多いので気になったものだけをまとめます。

11/8

11/15

 

11/16

11/28

11/29

11/30

分析手法、ツール関連

11/7

11/9

 

11/14

11/20

解析・分析・研究記事

マルウェア

11/14

11/22

フィッシング

11/8

11/10

11/15

11/20

APT

11/21

 

ランサムウェア

11/7

11/10

11/14

 

11/15

11/21

11/24

悪意あるパッケージ

11/14

Botnet

11/7

11/15

11/30

Bot

11/7

DDoS

11/9

 

マルバダイジング

11/10

11/13

インフォスティーラー

11/7

11/15

ドロッパー

11/7

マイナー

11/9

Webスクレイピング

11/9

11/13

ワイパー

11/14

USBワーム

11/20

ダークウェブ

11/9

11/21

ドメインハイジャック

11/7

SSRF

リポジトリ侵害

11/9

11/20

イニシャル・アクセス

11/15

ソーシャルエンジニアリング

11/14

11/24

スミッシング

11/14

フェイク・アップデート

11/15

Web Shell

11/24

Windows

QRコード不正

最近よく見るのでまとめます。

11/14

11/13公表

10/30公表

11/9公表

レポート・まとめ

11/7

 

 

 

11/8

 

11/9

11/10

 

 

11/13

 

11/15

 

11/17

 

11/28

11/30

 

テイクダウン・逮捕

11/15

11/29

官公庁・組織・団体公表

CISANSA

11/29

FDA

11/22

経済産業省

11/28

IPA

11/10

 

JPCERT/CC

11/13

OT

11/10

11/15

11/16

システム・セキュリティ業界の動向

AWS

11/15

Discord

11/7

攻撃側の動向ほか

11/8

11/15

11/20

11/21

Lockbit関係

11/15

11/29

 

BlackCat(ALPHV)

11/17

業界別インシデント

医療系は変わらず記事が多い印象です。まとめ方の問題かもしれませんが、小売業関係、公的機関関係が増えているように思います。

金融・証券・保険・ローン

11/7

 

11/9

 

11/10

11/20

暗号資産

11/22

製造

11/10

11/15

11/20

11/29

 

自動車関連

11/7

11/22

情報

11/7

11/8

11/17

11/22

11/24

11/28

通信

11/7

11/17

11/22

教育

11/7

11/24

医療・医薬・ヘルス

11/7

11/9

11/13

 

11/16

11/21

11/22

11/28

小売、卸売

11/7

 

 

11/9

11/15

11/24

電気機器

11/7

エネルギー

11/29

官公庁・公的機関

11/10

11/13

11/16

11/17

11/20

11/21

11/24

11/28

研究機関

11/24

国立研究開発法人

11/30

独立行政法人

11/24

運輸

11/9

11/16

11/17

航空

11/7

建設

11/29

宿泊

11/8

娯楽

11/16

AI関連

11/9

啓蒙・教育・人材関連

11/7

 

11/9

11/16

気になった記事

11/7

11/8

 

11/17

11/22

11/29