Fox on Security

セキュリティリサーチャー(インシデントアナリスト)で、セキュリティコンサルタントのキタきつねの独り言。専門はPCI DSS。

日本の大学は攻撃対象の認識があるか?

産経デジタルの3月24日記事にイランからのサイバー攻撃テヘランにあるMabna研究所に関連する9人のイラン人が起訴された件が載っていました。

www.iza.ne.jp

米国の大学144校が襲われたんだ・・・と記事を流し読みしていたのですが、320校の全世界の大学の中に「日本」が入っており、とてもこの事件が気になりました。東大や京大といった日本を代表する大学がこの”侵入被害”を受けている大学の中に入っている可能性は十分にありそうです。

 

◆記事のソースは、米国司法省の3月23日の発表だったので、リリース内容を見てみたのですが、

Nine Iranians Charged With Conducting Massive Cyber Theft Campaign on Behalf of the Islamic Revolutionary Guard Corps | OPA | Department of Justice

 

2013年から2017年12月までの攻撃キャンペーンで、侵入を受けたコンピュータシステムの所属は、

と記載があります。なる程・・・国連も襲われています。

 

米国以外の大学については、

including Australia, Canada, China, Denmark, Finland, Germany, Ireland, Israel, Italy, Japan, Malaysia, Netherlands, Norway, Poland, Singapore, South Korea, Spain, Sweden, Switzerland, Turkey and the United Kingdom

 

漏えいしたデータについての記載は、

31 terabytes of academic data and intellectual property from universities, and email accounts of employees at private sector companies, government agencies, and non-governmental organizations.

31.5テラバイト!の大学、プライベートカンパニー、政府組織、非営利団体学術および知的財産権に関わる情報がイラン政府、イラン革命防衛隊に漏洩した可能性があるとの事。

 

Through the course of the conspiracy, U.S.-based universities spent more than approximately $3.4 billion to procure and access such data and intellectual property.

 

米国から漏れた知財権についての損失概算は34億ドル(約3,570億円)にも達するとの事ですが、この概算には日本を含む諸外国分の損害額は含まれていません。

 

攻撃経路が気になる所ですが、

The Mabna Institute, through the activities of the defendants, targeted more than 100,000 accounts of professors around the world. They successfully compromised approximately 8,000 professor email accounts

 

The members of the conspiracy used stolen account credentials to obtain unauthorized access to victim professor accounts, which they used to steal research, and other academic data and documents, including, among other things, academic journals, theses, dissertations, and electronic books.

10万人に攻撃し、8,000人の教授のメールアドレスの奪取に成功し、その不正に入手したアカウント情報を用いて、研究データや学術的な書類、学術雑誌や論文、電子書籍などを盗んだとあります。メール攻撃では他で漏れている使い回しパスワードを使った攻撃が非常に多いのですが、対象が「教授」ですし・・・攻撃詳細は分かりませんが、そうではなかったと信じたいところです。

 

◆キタきつねの所感

ニュース記事だけを見ると、「米国の大学で大量のデータがイランに流出したんだ」程度の認識の方が多いかと思います。しかし米司法省の発表、あるいは米国のニュース記事などを見る限り、大学を狙った大規模な(世界的)攻撃キャンペーンである、という論調で、日本も含めて大きな事件であるとの認識をすべきなのだと思います。

米国が最大被害を受けた事件であり、FBI等が捜査中でもある事から、特に海外大学から漏えいした情報についてはあまり詳細に発表されないのではないかと思いますが、日本の大学からも学術情報が漏えいした事は間違いなく、流出した経路については今後も脆弱性が残っている(今後も同じ手口で責められる可能性がある)と考えるべきかと思います。

攻撃を受けた国は、米国、オーストラリア、カナダ、中国、デンマークフィンランド、ドイツ、アイスランドイスラエル、イタリア、日本、マレーシア、オランダ、ノルウェイポーランドシンガポール、韓国、スペイン、スウェーデン、スイス、トルコ、英国と米司法省の発表に記載がありますが、「教授」が対象であったことを考慮すると、「英語」での大規模キャンペーン(APT攻撃)であったと思われます。

英語のフィッシングメールでも踏んだのかな・・とまず最初に考えたのですが、10万人に仕掛けて8,000人のアカウント奪取と、かなり成功率が高い攻撃であったようですので、Windowsのパッチはそれなりに当たっており、アンチウィルスソフトが入っている環境で、(英語の)添付ファイルを開けてしまった標的型(APT)攻撃であった可能性が最も疑わしく、その次の可能性としては・・イランすなわち”国”が絡む大規模キャンペーンですから0ディ脆弱性を使った攻撃であったのかなと思います。

 

とは言え・・・「大学」からこれだけ多量のデータが奪取されたということから考えると・・・外部からの不正アクセスに対して大学の防御は甘い、という側面は否定できません。

また同じ米司法省のリリースの同じ部分を引用しますが、

The members of the conspiracy used stolen account credentials to obtain unauthorized access to victim professor accounts, which they used to steal research, and other academic data and documents, including, among other things, academic journals, theses, dissertations, and electronic books.

教授のメールアカウントが一度盗まれてしまえば、大学のメールは外部からアクセスし放題。すなわちログイン認証がID/パスワードだけである大きな脆弱性がこれだけの被害を出した、もう1つの要因だと推測されるのです。やはり外部からのアクセスに関しては、攻撃を受けた事を考慮して、多要素認証を導入する等の対策は必須なのではないでしょうか?

 

今回の攻撃キャンペーンで、実際に日本の大学もデータが漏えいしている、この事実に即して考えれば、日本の大学も攻撃を受ける対象であり、自組織を守るためには、重要なメール情報・学術情報(重要資産)を持っているであろう”教授”は、特に高いセキュリティ手段で守るべき、そう考える時期に来ているのではないでしょうか。

 

 参考:

www.kahoku.co.jp

大学のイラスト

 

更新履歴

  • 2018年3月25日AM(予約投稿)