2020年の記憶に残るインシデント

海外記事では多くのメディアがお休みモードで、印象的な記事はあまり多くないのですが、本日はArstechnicaの2020年インシデントの振り返り記事をご紹介します。

キタきつねの所感

1位に挙げられていたのが、SolarWindsです。当ブログでもいくつか関連記事を書きましたが、「影響範囲が未だに分からない」程に、特に米国では被害が拡大し続けています。1月20日に就任予定のバイデン新大統領のサイバーセキュリティ戦略に影響を与えるのは間違いなく、個人的にも「サプライチェーン攻撃」の恐ろしさをまざまざと見せつけられたインシデントでもあります。

SolarWindsハック

2020年は最後に最も壊滅的な違反を救った。複数の公務員がロシア政府に後押しされていると言うハッカーは、何万もの組織が使用しているネットワーク監視ソフトウェアのメーカーであるSolarWindsのソフトウェア配布システムを危険にさらすことから始めました。その後、ハッカーは自分たちの立場を利用して、約18,000人の顧客にバックドアアップデートを配信しました。そこから、ハッカーはそれらの顧客のネットワーク上のデータを盗んだり、破壊したり、変更したりすることができました。
捜査官が被害を評価するのには時間がかかるでしょう。これは、悪意のある更新プログラムをインストールしたすべての人が後続の攻撃を受けたわけではないためです。これまでのところ、セキュリティ会社FireEyeは、ハッカーが政府の顧客に関する情報を求め、顧客のセキュリティ防御をテストするために使用されるレッドチームツールも盗んだと述べています。一方、米国当局は、財務省の数十の電子メールアカウントもハッキングされていると述べています。

（Arstechnica記事より引用）※機械翻訳

参考：SolarWindsへのAPT攻撃 - Fox on Security

　　　SolarWinds事件は対岸の火事ではない - Fox on Security

　　　SolarWinds事件(SunBurst)のフォレンジック調査 - Fox on Security

続いて挙げられていたのがTwitter（と任天堂）です。これもAPT攻撃と言うべきかと思いますが、Twitter内部権限を奪取する攻撃は、ソーシャルエンジニアリング手法とも相通じるものがあり、リモートワーク時代における攻撃手法の変化を感じました。

Twitter、ニンテンドーアカウントの大量侵害

7月、Twitterは、ビットコイン詐欺を推し進めるハッカーに内部システムの制御を失いました。この違反は、政治家、有名人、経営幹部のアカウントを侵害し、その多くが数百万人のフォロワーを抱えていたため、注目に値しました。
被害は軽微であり、偽のビットコインプロモーションの支払いで約100,000ドル、一部のアカウント所有者から一部の個人データが盗まれましたが、このようなハッキングははるかに悪いことをするために使用された可能性があります（株式市場を操作する政府またはビジネスリーダーからの発表を考えてください）または地政学的緊張をかき立てる）。
この違反を重大なものにしたもう1つのことは、それを実行した人々と彼らが使用した戦術でした。当局は、17歳、19歳、22歳を、COVID-19パンデミック中に在宅勤務のTwitter従業員から管理パスワードを盗んだスピアフィッシング攻撃を使用したとして起訴しました。

（Arstechnica記事より引用）※機械翻訳

参考：Twitterはソーシャルエンジニアリングで突破された - Fox on Security

　　　Twitterのセキュリティはティーンの電話で破られた - Fox on Security

　　　Twitterハック犯人がすぐ捕まった理由 - Fox on Security

　　　Twitter社へのソーシャルエンジニアリング攻撃 - Fox on Security

　　　ニンテンドーは被害を積み上げた - Fox on Security

次に挙げたのは、今年のインシデントの象徴と言っても良い気がしますが、「ランサムウェア（2重脅迫）」被害です。

デュッセルドルフ大学病院、ガーミン、フォックスコンに対するランサムウェア攻撃

これらは個別の違反ですが、これらを合わせると、標的となる組織だけでなく、それらに依存する何百万もの人々に対して、ランサムウェア攻撃が厳しくなるコストが強調されます。

ドイツのデュッセルドルフ近郊の病院の1つを襲った停電の際、救命治療を求めていた患者は、より遠い施設からサービスを受けようとしたため、背を向けて死亡しました。とにかく患者が死亡する可能性はありますが、それでも妥協案は、ランサムウェアやその他の種類の有害なハッキングが持つ可能性のある致命的な役割を示しています。

一方、Garminの攻撃により、4日間の停止が発生し、GPSサービスが数百万人にノックアウトされました。その中には、フライトプランニングとマッピングを行う航空機パイロットも含まれていました。
注目を集めたもう1つのランサムウェア攻撃は、電子機器の巨人Foxconnの侵害でした。攻撃者はデータの返却に3400万ドルを要求し、これまでに求められた最高の身代金になりました。

（Arstechnica記事より引用）※機械翻訳

ドイツのデュッセルドルフ大学病院では患者が搬送されようとしていた病院がランサム被害を受けていた為に、救急患者が別な病院に搬送された事によって、死亡した（※）とされる事件でした。

※後にランサムが直接的な死因ではないとの見解が出されています

また、スマートウォッチだけでなく、GPSを使ったフライトプランサービスも停止してしまったGarminの攻撃は、IT技術によって複数のサービスが集約された部分を攻められると大きな影響が出てしまう可能性がある事を改めて思い出させました。

参考：ランサムが「入ってくる」想定が大事 - Fox on Security

Foxconnは、ランサム（身代金）の請求額が巨大でした。3400万ドル（約35億円）は過去最高額であり、ランサムがダークビジネスとして大成功している象徴でもありました。

マリオットとイージージェットのデータ侵害も、攻撃者が隙があればコロナ禍でも顧客情報を狙っている事をよく表していたかと思います。

マリオットとイージージェットを襲ったデータ侵害
これらも個別のハッキングでしたが、何億人もの個人に属する個人データの侵害につながりました。

マリオットにとって、520万人のゲストの情報が失われたのは、3年ぶりにその規模のハッキングが発生したことです。EasyJetの違反は900万人の乗客に影響を及ぼしました。

（Arstechnica記事より引用）※機械翻訳

参考：マリオット2度目のデータ漏えい - Fox on Security

　　　英国LCCイージージェットの個人情報漏えい - Fox on Security

最後がiPhoneの脆弱性と、Intel CPUの秘密鍵漏えいです。ホワイトハッカーがバグを見つける、日本ではこうした活動がなかなか定着（評価）されていませんが、ソフトやハードは「基本的には脆弱性がある」という前提で考えた際に、ホワイトハッカー、もっと言えばグレーやダークなハッカーまでの力を借りて、脆弱性に対応していく、こうした世界的な動きに日本も追従していく必要がありそうです。

iPhoneのゼロクリックエクスプロイトとIntelCPU暗号鍵の抽出

今年の最も印象的なハッキングは、GoogleのProjectZero脆弱性調査チームのメンバーであるIanBeerによるものです。彼は、Appleがアップデートを発行するまで、悪意のあるWi-Fiアクセスポイントの範囲内にあるすべてのiPhoneへのフルアクセスを許可する攻撃を考案しました。
彼の攻撃はiPhoneユーザーに何もする必要がなく、ワーム可能でした。つまり、エクスプロイトが近くのデバイスから別のデバイスに広がる可能性がありました。このエクスプロイトは、最近の記憶の中で最も印象的なハッキングの偉業の1つであり、単一の園芸品種の脆弱性から生じる可能性のある被害を示しています。Beerが個人的に報告した後、Appleはバッファオーバーフローの欠陥にパッチを当てました。

今年のもう1つのトップハックは、Intel CPUでマイクロコードを暗号化するために使用される秘密鍵の抽出でした。これは、セキュリティとリバースエンジニアリングの歴史上初めてのことです。
このキーにより、Intelが提供するマイクロコードの更新を復号化して、セキュリティの脆弱性やその他の種類のバグを修正できます。更新の復号化されたコピーがあると、ハッカーはそれをリバースエンジニアリングして、パッチを適用している穴を悪用する方法を正確に学ぶことができます。このキーにより、Intel以外の関係者（悪意のあるハッカーや愛好家など）が独自のマイクロコードでチップを更新できる場合もありますが、そのカスタマイズされたバージョンは再起動後も存続しません。

（Arstechnica記事より引用）※機械翻訳