Fox on Security

セキュリティリサーチャー(インシデントアナリスト)で、セキュリティコンサルタントのキタきつねの独り言。専門はPCI DSS。

国連へのサイバー攻撃をまとめてみた

国連が2019年7月にサイバー攻撃により内部ネットワークに不正アクセスを受けた事が1月下旬に多くの海外メディアで報じていました。日本ではあまり取り上げられてないので、この件についての情報をまとめてみます。

 

事件の概要

The New Humanitarianが国連内部レポートをリークし、ジュネーブの国連欧州本部や、ウィーンの国連機関のサーバー2019年7月に国の支援が疑わるハッカーにより外部から大規模な侵入(ハッキング)を受け、職員名簿やメールアドレス、健康保険などの従業員データや契約データ等が侵害された事が明らかになった

 

影響範囲

・機密データを盗む国連サーバーのハッキング *10

ジュネーブとウィーンの国連ネットワークが侵害された *8

ハッカーがアクセスしたサーバーは「機密データや機密情報を保持していない」 *9

・スタッフの記録、健康保険、および商業契約データがすべて侵害された *6

・最大で4,000人の従業員が影響を受ける可能性 *2

・国連IT幹部「重大なメルトダウン」 *6

・最大400GBのデータがダウンロードされた可能性がある *2

・42台のサーバが侵害され、25台が疑わしい *5

・影響を受けたインフラにはユーザとパスワード管理(AD)、システム制御、セキュリティ

 FWが含まれていた *5 *8

 

攻撃者

・侵入手口は高度に洗練されていた *1

・国家が関与した疑い *1

・明らかにリソースの豊富なサイバー攻撃 *9

 

侵害を受けた原因

MicrosoftSharePointの既知の脆弱性(CVE-2019-0604) *5 

 ※参考JVNDB-2019-002318 - JVN iPedia - 脆弱性対策情報データベース

・未公開のマルウェアと組み合わせて、国連のオフィスにある数十のサーバーにアクセス

 

リーク記事(The New Humanitarian)

The New Humanitarian | EXCLUSIVE: The hack the UN tried to keep under wraps

 

2018年の国連内部監査資料

 

Second annual progress report of the Board of Auditors on the implementation of the information and communications technology strategyA/73/160 - E - A/73/160

 

 

時系列

・2018年       国連のセキュリティに関する内部警告 *5

・2019年3月5日   SharePoint脆弱性(CVE-2019-0604)が公開 

・2019年3月13日   マイクロソフト社が(CVE-2019-0604)のパッチをリリース

・2019年7月中旬~  ハッカーが侵入開始 *5

・2019年8月     国連側が侵入を検知 *1

・2019年8月30日   内部システム管理者向けにドメイン全体が危機にさらされて

           いるという想定の下で作業を行っています」とのアラート *5

           国連は事件の隠ぺい(非公表)を決断 *5 

           影響を受けた可能性がある職員にはパスワード変更の必要がある

           事のみ通知され、個人情報漏えいは通知されず *5

・2019年9月20日   国連情報技術局が機密報告書をリリース *3 *5

・2020年1月29日   The New Humanitarianが事件をリーク

 

 

 

キタきつねの所感

SharePoint脆弱性(CVE-2019-0604/JVNDB-2019-002318)4か月放置していた事が直接の侵入原因の1つだった様です。SharePointでリモートコードが実行される脆弱性で、CVSSでもかなりスコアが高いのみならず、リモートでのコード実施が可能となる、ハッカーが外部から攻撃に使いやすい脆弱性であった事が分かります。

f:id:foxcafelate:20200205213001p:plain

こうした危険な脆弱性に対して、例えば1か月以内に最新化(パッチを当てる)企業・組織も多いかと思います。では国連は何故4か月対応しなかったのか?という部分については、国連の体質もある気がします。

 

それが如実に表れているのが、2018年の国連内部監査資料です。セキュリティ対策に問題を抱え、セキュリティに関連する警告を多数受けていたのに改善されていなかった事がよく分かります。

 

事件を隠ぺいしようとしたのも問題ではありますが、それ以前の問題として、組織として「コンプライアンス」の意識が欠落していたと言われても仕方が無いと思います。ハッカーの攻撃がAPTだったかどうかはともかく、起きるべくして起きた事件と言えるのではないでしょうか。

 

参考 国連内部監査資料抜粋 ※機械翻訳

f:id:foxcafelate:20200202201032p:plain

 f:id:foxcafelate:20200202200433p:plain

f:id:foxcafelate:20200202201244p:plain 

f:id:foxcafelate:20200202201406p:plain

f:id:foxcafelate:20200202201438p:plain

f:id:foxcafelate:20200202201517p:plain

f:id:foxcafelate:20200202201644p:plain

 

調査ソース

No メディア 記事タイトル(リンク)
1

共同通信

国連機関のサーバーに侵入 2020.1.30

2

NULLTX

Hackers Steal 400GB of Data From UN Servers, Thousands of Employees Affected January 31, 2020

3

Forbes

United Nations Confirms ‘Serious’ Cyberattack With 42 Core Servers Compromised Jan 30, 2020

4

AP

Leaked report shows United Nations suffered hack January 30, 2020

5

The Register

UN didn't patch SharePoint, got mega-hacked, covered it up, kept most staff in the dark, finally forced to admit it 29 Jan 2020

6

BoingBoing

United Nations was hacked in July 2019 and kept it quiet, despite its own staff being at risk JAN 29, 2020
7

DarkReading

United Nations Data Breach Started with Microsoft SharePoint Bug 1/30/2020

8

DIGIT

Leaked Report Reveals United Nations Suffered Major Data Breach 31 January 2020

9

Reuters

U.N. says offices in Geneva, Vienna targeted by 'well-resourced' cyberattack last year JANUARY 30, 2020

10

Latest Hacking News

Leaked Report Reveals United Nations Was Hacked Last Year February 3, 2020

 

 

 

本日もご来訪ありがとうございました。

Thank you for your visit.

 

 

 国際連合総会のイラスト

 

 

更新履歴

  • 2020年2月5日 PM(予約投稿)