年末にサイバー犯罪が行われやすい理由・・・クリスマスにかけて大型の商戦があるのが最大の理由かもしれません。

www.telegraph.co.uk

Hackers are offering Black Friday discounts for stolen credit card details being bought and sold on the dark web as they seek to cash in on an online shopping bonanza.

Security experts including the FBI, the UK's cyber defence agency and online security firms have warned of a wave of hacking and fraud as criminals exploit Britain's biggest weekend of online shopping across Black Friday and Cyber Monday.

（Telegraph記事より引用）

◆キタきつねの所感

米国ではサンクスギビングデー（感謝祭）が終わるとクリスマスに向けた大型商戦期間に入ります。最近はAmazonやイオンなどでもこの単語を見かけるようになりましたが、この期間での週末を『Black Friday、Cyber Monday』と呼びますが、（米国における）年に1度の大セールと言えば、今の時期から12月初旬までの時期を指します。

bgr.com

上の記事の写真を見てもらうと分かるかと思いますが、セール商品を巡って客の喧嘩シーンが毎年ニュースで流れるほどに爆発的にモノが売れるセールで、あまり日本で見かける事の無いかも知れません。

当然、そうした大型商戦・・・ほとんどの購入客がクレジットカードで決済します。ここで冒頭の記事に戻ると、ブラックマーケットでも商売時となるので、偽造カード、あるいはネット取引で使えるクレジットカード情報の売買が盛んになります。併せてセール情報のフィッシング詐欺であったり、偽サイトで不正に決済させたり、偽クーポン発給でフィッシングメールをクリックさせようとする攻撃なども知られており、ある意味ハッカーにとっても稼ぎ時である大型商戦中といえそうです。

因みに、カード情報などはダークウェブの『ブラックフライデー割引』で25％オフで提供されているところもあると報じられていました。

更新履歴

• 2018年11月25日AM（予約投稿）

ランサムasビジネス、そんな想いを強くした米司法省の発表でした。

www.itmedia.co.jp

米国などの病院や公共機関でランサムウェア（身代金要求型マルウェア）感染被害が相次いでいる事件に関連して、米司法省は11月28日、イラン人の男2人がランサムウェアを使ったハッキングや脅迫に関与した罪で連邦大陪審に起訴されたと発表した。

 

　米司法省の発表によると、2人はデータを暗号化してしまうランサムウェア「SamSam」を作成し、セキュリティ脆弱性を突いて不正アクセスした被害者のコンピュータに感染させていたとされる。

　被害は病院などの医療機関のほか、ジョージア州アトランタ市、カリフォルニア州サンディエゴ港、コロラド州運輸局、カナダのカルガリー大学といった自治体や公共機関など200以上に及んでいるという。

　2人は被害者に対してビットコインで身代金を支払うよう要求する手口で、600万米ドル相当の身代金を脅し取っていたとされ、被害総額は3000万ドル以上と推計されている。

(IT media 記事より引用）

◆キタきつねの所感

SamSamの被害を受けた事件についてはこのブログでもいくつか記事に取り上げてましたが、米国司法省としては2名の犯人までたどり着いたという発表（逮捕された訳ではありませんが・・）は、感慨深いものがあります。

改めてSamSamについて調べていたところ、DigiCertのHPに「そうそうそれ！」という記載がありました。

www.websecurity.symantec.com

Samsam は、数が増加しているランサムウェア亜種の 1 つですが、他のランサムウェアと異なるのは、パッチ未適用のサーバ側ソフトウェアを通じて目的の標的に到達する点です。ここで注目すべきは、犯罪者がランサムウェア攻撃において企業を直接標的とする傾向が増加していることです。

（digicertHPより引用）

ランサムは無差別攻撃に見えて、2名の訴追されたイラン人の行動からも明らかのように、病院や公共施設、交通機関といったランサム被害においてお金を払いそうな対象に集中的に攻撃を仕掛けてくる場合もあるのだという認識を持つべきなのだと改めて思います。

米司法省の発表（原文）を見てみたのですが、ITmediaの記事はよくまとまっているのですが、もう少し細かい所まで書かれています。

例えば、具体的に被害を受けた200施設には、アトランタ市、ジョージア州のニューアーク市、サンディエゴ港、カリフォルニア州のコロラド交通局、カルガリー大学、ハリウッド・プレスビティリアン・メディカルセンター、カンザス州ハート病院、LabCorp、MedStar Health、ネブラスカ州Orthopedic病院、シカゴのAllscripts ヘルスケアソリューションズ、、私はこの中の事件について1/3程度しか知りませんでした。

 These more than 200 victims included hospitals, municipalities, and public institutions, according to the indictment, including the City of Atlanta, Georgia; the City of Newark, New Jersey; the Port of San Diego, California; the Colorado Department of Transportation; the University of Calgary in Calgary, Alberta, Canada; and six health care-related entities: Hollywood Presbyterian Medical Center in Los Angeles, California; Kansas Heart Hospital in Wichita, Kansas; Laboratory Corporation of America Holdings, more commonly known as LabCorp, headquartered in Burlington, North Carolina; MedStar Health, headquartered in Columbia, Maryland; Nebraska Orthopedic Hospital now known as OrthoNebraska Hospital, in Omaha, Nebraska and Allscripts Healthcare Solutions Inc., headquartered in Chicago, Illinois.

セキュリティのご専門の方は、以下も注意して読むべき気がします。

2015年12月に最初のバージョンが作成され、2017年6月、10月にUpdateバージョンが作成されている事は、バージョンの進化から考えるとそんな感じかなと思いますが、脆弱性スキャンなどの手口で先に潜在的な犠牲者を調査した上で攻撃している部分、そして正常なネットワーク活動のように見せかける攻撃の偽装という部分、この辺りを読むと標的型攻撃の一種（だった）と考えるのが妥当ではないでしょうか。

According to the indictment, Savandi and Mansouri created the first version of the SamSam Ransomware in December 2015, and created further refined versions in June and October 2017.  In addition to employing Iran-based Bitcoin exchangers, the indictment alleges that the defendants also utilized overseas computer infrastructure to commit their attacks.   Savandi and Mansouri would also use sophisticated online reconnaissance techniques (such as scanning for computer network vulnerabilities) and conduct online research in order to select and target potential victims, according to the indictment.  According to the indictment, the defendants would also disguise their attacks to appear like legitimate network activity.

更に次の部分も、もしこの基礎内容がすべて事実だとすれば、怖さを感じられるところかも知れません。

彼らは匿名通信技術であるTorを利用し、ビジネス時間外に攻撃を開始し、更にバックアップも暗号化することによって被害の最大化を図った。

To carry out their scheme, the indictment alleges that the defendants also employed the use of Tor, a computer network designed to facilitate anonymous communication over the internet.  According to the indictment, the defendants maximized the damage caused to victims by launching attacks outside regular business hours, when a victim would find it more difficult to mitigate the attack, and by encrypting backups of the victims’ computers.  This was intended to—and often did—cripple the regular business operations of the victims, according to the indictment.  The most recent ransomware attack against a victim alleged in the indictment took place on Sept. 25, 2018.

いくつかの事件を分析している際に、こうした攻撃手法は判明していましたが、サービスを止める事の影響が大きい公的な要素が強い施設を狙い、防御側が手薄なビジネス時間外に攻撃を開始し、ランサム被害を軽減するバックアップも事前調査により暗号化を先に行ってしまう、、、サイバー攻撃をビジネスとして考えた時に、彼らが7億円以上の身代金を獲得できた事は当然と言えるでしょう。

また、同じ攻撃手法は、違ったタイプのランサムでも成功する可能性は十分にあると思いますし、いつ日本企業がそのターゲットになってもおかしくないと思います。

更新履歴

• 2018年11月30日PM（予約投稿）

高級ホテルチェーンを数多く抱えるマリオット・インターナショナルが傘下のスターウッド・ホテルズのDBがハッキングを受け約5億件の顧客データを漏洩した可能性があると発表しました。2018年を象徴する漏洩事件となりそうです。

jp.reuters.com

ホテル世界最大手の米マリオット・インターナショナルは３０日、「シェラトン」や「リッツ・カールトン」などのホテルを展開する傘下スターウッド・ホテルズの予約データベースがハッカー攻撃を受け、約５億人の顧客の個人情報が流出した可能性があると発表した。

今回の個人情報流出は、２０１３年に起きたヤフーの３０億アカウントの情報流出に次いで、過去２番目の規模となる見通し。

マリオットによると、３億２７００万人の顧客については、パスポートや電話番号、電子メールアドレスなどの情報が流出した恐れがある。一部の顧客については、クレジットカード番号が流出した情報に含まれる可能性があるという。

 

マリオットは今年９月、データベースに不正アクセスがあったことを初めて確認。調査を開始したところ、不正アクセスが２０１４年から始まっていたことが発覚した。

マリオットは２０１５年１１月、スターウッドに買収提案。買収は１６年９月に完了したことから、情報流出はマリオットがスターウッドを取得する前から始まっていたことになる。

（ロイター記事より引用）

◆キタきつねの所感

5億件という漏洩の件数から考えると（重複もあるとは思いますが）、個人的な推測となりますが、日本のホテル（日本人）も影響を受けている可能性が高いと思います。

マリオットは130以上の国で、6700以上のホテルを傘下に持ち、日本ではマリオット、シェラトン、リッツカールトン、ウェスティンなど40施設があるようです。

今回影響を受けたとされるのは、2016年にマリオットがスターウッド・ホテルズ＆リゾーツを買収したStarwood Preferred Guest (SPG）系のデータベースだったようです。

今年の8月18日には、「マリオット リワード」「ザ・リッツ・カールトン・リワード」「スターウッドプリファードゲスト（SPG）」が統合され、1.1億人以上の会員を有するロイヤリティプログラムになっています。おそらくこの統合過程で、今回の漏洩事件が発覚したという事なのでしょう。

事件の時系列を公式発表等からまとめてみると、

データ侵害を4年間も検知できてなかった中、マリオットは8月に３つのホテルプログラムを統合します。事件発覚が9月8日である事を考えると、統合された際に採用（導入）されたセキュリティツール（不正アクセスを検知する仕組み）が優秀であった事が分かると同時に、統合前のスターウッドゲスト予約データベースにおけるセキュリティ体制が4年も不正侵入に気づけないものであった事が推測できます。

漏洩した可能性があるのは、9月10日以前に予約をした顧客、約5億件のデータで、

3億2700万件が、氏名、住所、電話番号、Eメール、パスポート番号、SPG会員番号、生年月日、性別、ホテル予約情報が漏れた可能性があり、その一部は暗号化（AES128）されたクレジットカード番号も影響した可能性があり、

残り（1億7300万件）がEメールとその他の情報といった限定的であったと発表されています。

マリオットとしては、決済情報が悪用されやすいクレジット情報は暗号化されているので事件の影響は少ないと印象づけたいのだと思いますが、漏洩したデータは、つまり高級ホテルに宿泊するゲストのものであり、その価値は30億件のデータ漏洩を起こしたヤフーの顧客データよりも潜在的に高いものです。

決済処理のスピードやPCI DSS対応を考えてクレジットカード番号だけを暗号化していたのかも知れませんが、顧客データベースまで侵入されるリスクを考えれば、その他の個人情報も暗号化しておくべきだったのかと思います。

見方を変えれば、2014年から9月まで侵入していたハッカーが、5億件にも及ぶデータをDark Web等で販売してこなかったのです。もしこうした宿泊者データが販売されれば、それなりの販売金額になっていたものと思います。

ではハッカーが何故売らなかったのか？と考えると、ハッカーは国家的な支援を受けていた可能性が高い気がします。高級ホテルに宿泊する、例えば米国政府高官の個人情報であったり、「いつから何時までどこのホテルに居た」といった情報ですら、国家規模で人物をウォッチする上では有益になります。ホテルの●●号室に泊まっている事が分かれば、ホテルで政府高官が繋ぐWifiのパスワードを知る事も可能です。（※こうしたホテルでは部屋番号と氏名情報で認証をかけているケースが多い）やり方によってはメール内容の盗聴も可能になりますので、4年間もデータ侵害が発覚しなかった事は、標的型攻撃に有益なデータであったのでハッカーはあえて公開しなかったと考えるべきかも知れません。

宿泊者のデータベース・・・推測になりますが、ワールドワイドなホテルチェーンですので、日本のホテルも全世界と共通なシステムを使っている可能性は高いと思います。影響が日本にも及ぶ可能性は高いのではないでしょうか？（日本政府高官も影響を受けた可能性も無いとは言い切れないかも知れません）

更新履歴

• 2018年12月1日AM（予約投稿）