Fox on Security

セキュリティリサーチャー(インシデントアナリスト)で、セキュリティコンサルタントのキタきつねの独り言。専門はPCI DSS。

原子力規制委員会への不正アクセス調査に時間がかかっている件

一般的に言って、不正アクセスの影響調査に時間がかかっている場合は、何か機微な情報が漏えいした可能性が高いのですが、官房副長官は昨日の時点で否定しています。とは言え、関係者の方々の歯切れが悪いのはどうしてなのでしょうか?

jp.reuters.com

岡田直樹官房副長官は28日午後の会見で、原子力規制委員会のネットワークのシステムに26日午後、不正侵入があった件について、現時点では情報の漏洩は確認されていないとの見解を示した。また、核セキュリティの情報は外部と接続していないシステムに存在し、漏洩していないと説明した。

外部からの不正侵入は26日午後に確認され、同規制委から内閣官房に報告があり、侵入の主体などについて調査を続けているという。

(ロイター記事より引用)

 

公式発表

 

キタきつねの所感

既に多くの方が初報を聞かれていて、piyokango氏も記事化している(とは言えまだ中身が溜まって無い気がしますが)中で、この記事を書こうと思ったのかと言うと、昨日の原子力規制員会 更田豊志委員長の定例会見の動画を見て、少し疑問を感じたからです。

 

現時点(10/28)での情報漏えいに関する関係者の見解は、「情報漏えいは確認されていない」となっています。

 

・核に関するセキュリティ情報(機微情報)は別の独立したシステムで管理していてたので不正アクセスの影響はない

・現時点で、(不正アクセスによる)情報の漏えいは確認されていない。

 

この事から考えると、すぐに事態が収拾されていきそうな気がするのですが、一方で、27日の共同通信の記事には、(個人的に)引っかかる記述があります。

www.47news.jp

規制委によると、26日午後5時40分ごろ、不正アクセスを示す通信を検知翌27日午後3時まで調査し、情報システムのサーバーに侵入された痕跡を見つけた。

(共同新聞記事より引用)

 

不正アクセス検知から、サーバー侵入の痕跡を見つけるまでに約1日かかっているのです。

因みに、関係があるとして外部とのメール送受信を止めたのは、27日17時です。つまり・・・26日(検知)から、27日(メール送受信停止)まで1日は、特に緩和策が打たれてなければ被害が拡大していた可能性があるという事になります。

続きを読む

Microsoft Office365の多要素認証保護は3%

個人的にはショッキングなCoreView社の調査レポートでした。コロナ禍でZoomの暗号化がEnd-to-Endでは無い、VPNが危ない・・・と新たな基幹技術やサービスの脆弱性が盛んにクローズアップされ、それはそれで大事な事なのですが、肝心の足元がおろそかになり過ぎではないか? そんな風にこのレポートを読みました。

threatpost.com

CoreView Researchによる最近のレポートでも、Microsoft 365ユーザー全体の97%がMFAを使用していないことがわかり、Microsoftサブスクリプションサービスの実装に固有のセキュリティ問題に厳しい光が当てられています。2017年に開始されたこのサービスは、Office 365、Windows 10、エンタープライズモビリティなどの基本的な生産性アプリケーションをユーザーに提供します。

先週発表されたレポートによると、「これは、特に従業員の大多数が遠隔地にいるときに、サイバー攻撃を効果的に阻止し、組織のセキュリティ体制を強化するために、IT部門が認識して対処しなければならない大きなセキュリティリスクです」。

(Threatpost記事より引用)※機械翻訳

 

 

元ソース(CoreView社)

 

キタきつねの所感

調査元のCoreView社は、Microsoft Office365等にSaaSで管理サービス等を提供する米国企業で、10/22にこの調査レポートを出しました。

対象は365ユーザー企業でトータル500万人以上のデータを分析対象と書かれていますので、日本企業/組織はあまり含まれてない気がしますが、グローバルの統計データとしては信頼性が高いものかと思います。

このレポートの表紙を見ると、いきなり危ないデータがサブタイトル(CoreView Research Indicates 50% of M365 Users are Not Managed by Default Security Policies)に出てきます。

f:id:foxcafelate:20201028055216p:plain

 

「CoreViewの調査によると、M365ユーザーの50%がデフォルトのセキュリティポリシーで管理されていないことが判明」とあるのですが、M365ユーザーの多要素認証保護率3%だけでなく、このレポート内にはかなり”怖い”調査結果が掲載されている事を予感させました。

続きを読む

Sopra Steriaへのランサム攻撃

フランスの大手ITサービスプロバイダーSopraSteriaがランサム(Ryuk)被害を受け、完全復旧には数週間かかる見込みの様です。

www.infosecurity-magazine.com

フランスのITサービス大手のSopraSteriaは、深刻なランサムウェア攻撃によって主要システムがオフラインにされた後、正常に戻るまでに数週間かかると述べています。

このグループは先週、火曜日の夜に攻撃を発見したと主張する非常に短いメッセージをWebサイトに投稿しました。

しかし、フィンテックビジネスのSopra Banking Softwareは本日のアップデートで、この事件がランサムウェア攻撃であることを確認しました。

「ウイルスが特定されました。これは、以前はウイルス対策ソフトウェアプロバイダーやセキュリティ機関に知られていなかったRyukランサムウェアの新しいバージョンです」と主張しました。

 

(Inforsecurity Magazine記事より引用)※機械翻訳

 

公式発表

 

キタきつねの所感

SopraSteriaの公式発表は、非常に簡単に10/20にサイバー攻撃を検出して対応中という内容しか書かれていません。

こうした事件経緯があまり書かれてない場合、情報を内部に隠しておきたいという企業の意思があると思われますが、もう一方で、ランサムオペレータと交渉中であるから情報を開示できない、という可能性も感じます。

 

海外記事のリーク情報に出てきているのは、「新種のRyukランサムウェアであるという点です。

この部分について、英国の著名なセキュリティブロガーであるグラハム・クラリー氏がブログ記事で面白い見方をしていました。

続きを読む

■【Weekly Pickup】2020年10月18日~10月24日

先週読んだ記事の中で、気になったモノをピックアップします。

※自分用にまとめた情報の抜粋で、一部はブログ記事の元ネタになっています。

※リンクは調査時点でのものであり、記事が公開された時点でリンク切れになっている場合があります。

「english button」の画像検索結果は英語記事になります。※は良記事(個人の感想です)

 

サイバー攻撃(海外)

整理No  

日付

     

記事タイトル(リンク)

 

2528

10月22日

Donald Trump’s Twitter password is “maga2020!”, and there’s no 2FA, claims hacker

ドナルド・トランプTwitterパスワードは「maga2020!」であり、2FAはない、とハッカーは主張している 「english button」の画像検索結果

2530

10月23日

Ransomware Takes Down Network of French IT Giant

ランサムウェアがフランスのITジャイアントのネットワークを破壊 「english button」の画像検索結果

2532

10月22日

Sopra Steria hit by cyber attack. IT services group suspected of falling victim to ransomware

ソプラ・ステリアがサイバー攻撃に見舞われた。ランサムウェアの被害者になっている疑いのあるITサービスグル​​ープ 「english button」の画像検索結果

2535

10月23日

Infected IoT Device Numbers Surge 100% in a Year

感染したIoTデバイスの数は1年で100%急増 「english button」の画像検索結果

2542

10月20日

UK: Russian GRU Hackers Targeted Tokyo Olympics

英国:ロシアのGRUハッカー東京オリンピックを標的 「english button」の画像検索結果

2545

10月19日

Google Reveals it Was Hit by 2.5Tbps DDoS

グーグルはそれが2.5TbpsDDoSに見舞われたことを明らかにする 「english button」の画像検索結果

2546

10月23日

FBI and CISA joint alert blames Russia’s Energetic Bear APT for US government networks hack

FBIとCISAの共同警報は、米国政府のネットワークハッキングに対するロシアのEnergetic BearAPTを非難している 「english button」の画像検索結果

続きを読む

フォートブラック陸軍基地のTwitterハッキング騒動

米国最大規模の米軍基地のTwitterアカウントがハッキング・・・脇が甘いのはトランプ大統領だけでなかったのかと思ったのですが、どうやら意外な結末だった様です。

edition.cnn.com

米陸軍は木曜日、スケベなメッセージが管理者によってフォートブラッグのツイッターアカウントに投稿され、水曜日に主張されたようにハッキングされていないと述べた。

「今朝、フォートブラッグのツイッターアカウントでの不適切なツイートに関する昨日の事件の調査の開始時に、アカウントの管理者は自分がツイートのソースであると特定しました。適切な行動が進行中です」と米国のあるスポークスマンは語った。フォートブラッグに拠点を置く陸軍部隊は声明で述べた。
陸軍は、フォートブラッグのアカウントは「数日中に復元される」と述べた。
水曜日に、フォートブラッグに収容されている陸軍ユニットの1つが、「フォートブラッグのTwitterアカウントがハッキングされ、一連の不適切なツイートがアカウントに投稿された」とツイートしました。
ノースカロライナ州フォートブラッグは、5万人以上の軍人を収容する、陸軍最大の基地の1つです。
削除された返信は、ポルノコンテンツをフィーチャーした別のTwitterアカウントによって投稿されたスケベなメッセージと裸の写真への返信でした。

(CNN記事より引用)※機械翻訳

 

キタきつねの所感

米軍(フォートブラッグの関係者のフォロワーの方々はかなり驚いた事かと思います。突然、平日の午後4時半頃に不適切な投稿へのリプライが、軍のアカウントから発信され、すぐにアカウント調査の為にアカウントが閉鎖されたのですから。

フートブラッグ基地は米国ノースカロライナ州にある米国陸軍基地です。

フォートブラッグ - Wikipedia

 

当該の投稿を探してみると・・・海外ニュースではかなり話題になっていて、マスキングがされてないものも上がっていましたが、かろうじて大丈夫そうな所から投稿を拾ってみますと・・・

続きを読む

トランプ大統領のパスワード

トランプ大統領は大統領選挙での劣勢が伝えられていますが、逆転に向けてこの脇の甘さが問題となるかも知れません。

jp.techcrunch.com

オランダのセキュリティ専門家が、トランプ大統領Twitterツイッター)アカウント、@realDonaldTrumpのパスワードを推測してアクセスすることに成功したという。パスワードは「maga2020!」だった(パスワードはすでに変更されている)。

GDI Foundationのセキュリティ研究者でセキュリティ脆弱性を見つけて報告するDutch Institute for Vulnerability Disclosure(オランダ脆弱性公表機関)の代表を務めるVictor Gevers(ビクター・ゲバーズ)氏はTechCrunchに、大統領のアカウントパスワードを推測し、5回目の試みで成功したと語った。

アカウントは2段階認証で保護されていなかったため、ゲバーズ氏のアクセスを許してしまった。

(Tech Crunch記事より引用)

 

 

キタきつねの所感

ホワイトハッカーによる疑似ハッキングは、ホワイトハウスの副報道官は「まったく真実でない」と否定していますが、大統領のSNSセキュリティのコメントを拒否した様ですので、疑似ハッキングは成功してしまったのかと思います。

とは言え、大統領選の終盤のこの時期にこうした「ニュース」をぶつけてくる事に、何かの”意図”を感じなくもありません。

 

それはさておき、仮にこの件が本当だったとして、ホワイトハッカーに突破されたパスワードは、何故5回の試行で破られてしまったのでしょうか?少し真面目に漏えいしたとされる、パスワード強度を考えてみます。

 

「maga2020!」

 

パスワードの構成上は、英小文字、数字、記号が使われており、パスワード長は9文字とまずまずの長さです。しかし、”2020”と”!”はパスワード保有者にとってユニーク(特有なもの)とは言えません。

”2020”は誰でも「今年」の事を指す事は分かると思いますので、パスワード桁数を増やす事には貢献しても、構成要素とては弱いかと思います。記号の”!”もユニークではありませんので、このパスワードの肝となるのは、【maga】となる事は明らかです。

 

この単語・・・どこかで見覚えがあるなと思った貴方!正解です。

続きを読む

シオノギ製薬へのサイバー攻撃

シオノギ製薬の台湾現地法人が10月初旬にランサム被害を受けた様です。海外ではヘルスケア分野におけるランサム被害が問題視されていますが、日本企業にもその攻撃の足音が近づいてきていると言えそうです。

www.nikkei.com

塩野義製薬の台湾現地法人サイバー攻撃を受け、盗まれた情報の一部がインターネット上に公開されていることが22日分かった。ダークウェブ上に医療機器の輸入許可証や社員の在留許可証が公開され、金銭を支払わなければ、さらに情報を暴露すると脅されているという。

同社によると、今月中旬、台北の営業拠点のパソコンがコンピューターウイルスに感染した。日本国内の研究所などに侵入された痕跡はない。

同社は新型コロナウイルスのワクチンを開発中。台湾に臨床試験(治験)の運営拠点はあるが「先端技術や個人情報は取り扱っていない」としてワクチン関連の情報は流出していないという。

日経新聞記事より引用)

 

公式発表(塩野義製薬

 

キタきつねの所感

日経新聞記事にもランサム被害を受けたらしき記述はありましたが、一般論と読み取れる内容でしたので、普通のサイバー攻撃マルウェア感染)なのか、ランサム攻撃だったのか分かりませんでした。

社内情報を盗んだ上で「身代金」を要求するウイルス「ランサムウエア」の被害は国内で拡大している。新型コロナワクチンの研究機関から機密情報を盗む動きも世界各地で活発化しており、国内でも攻撃が確認されている。

日経新聞記事より引用)

 

しかし、毎日新聞の英語版記事にあるサイバー攻撃スクリーンショットから「ランサム(2重恐喝)」であったと推定されます。

f:id:foxcafelate:20201023060124p:plain

(あなたの全てのネットワークがロックされましたあなたの機密データがダウンロードされています。10日以内に連絡してください。)

続きを読む