Fox on Security

セキュリティリサーチャー(インシデントアナリスト)で、セキュリティコンサルタントのキタきつねの独り言。専門はPCI DSS。

ニュージーランド準備銀行へのサイバー攻撃

海外事件 不正アクセス事件 考えてみた。

ニュージーランド準備銀行がサイバー攻撃を受けたと報じられていました。

www.nbcnews.com

ニュージーランドウェリントンニュージーランド中央銀行は日曜日、そのデータシステムの1つが、商業的および個人的に機密情報にアクセスする可能性のある身元不明のハッカーによって侵害されたと述べました。

ニュージーランド準備銀行が機密情報を共有および保存するために使用するサードパーティのファイル共有サービスが違法にアクセスされたと、ウェリントンに本拠を置く銀行は声明で述べた。

NBC News記事より引用)※機械翻訳

 

公式発表

Reserve Bank responding to illegal breach of data system(1/10)

Reserve Bank response to illegal breach of data system(1/11)

 

キタきつねの所感

ニュージーランド準備銀行はウェリントンにあるニュージーランドの「中央銀行」ですので、日本で言えば「日銀」です。

世界でもあまり例を見ない中央銀行サイバー攻撃不正アクセス)被害なので、現在までに判明している情報をまとめてみます。

 

まず公式発表でどう言っているかですが、1/10の発表ではサードパーティのファイル共有サービスが影響を受けたと言っているのですが、

 

ニュージーランド準備銀行–TePūteaMatuaは、データシステムの1つが侵害されたことに緊急に対応しています。

銀行が機密情報を共有および保存するために使用するサードパーティのファイル共有サービスが違法にアクセスされました。

(公式発表1/10より引用)※機械翻訳

 

1/11の段階では、ファイル共有アプリケーション側へのサイバー攻撃である事を示唆しています。

ニュージーランド準備銀行–TePūteaMatuaは、外部の利害関係者と情報を共有するために使用されるサードパーティのファイル共有サービスの違反に緊急に対応し続けています。

(中略)

「これはリザーブバンクに対する特定の攻撃ではなくファイル共有アプリケーションの他のユーザーも侵害されたサードパーティプロバイダーからアドバイスを受けました。」

(公式発表1/11より引用)※機械翻訳

 

影響範囲がどの程度であったのかについては、公開されていませんが、ニュージーランド準備銀行は、中央銀行であるが故に、関係者との共有をしている情報に外部に公開できない性質の機微情報が多く含まれている事は容易に想像できます。

※攻撃者がどういった集団であって、こうした情報を悪意のある攻撃者がどう利用する(してくる)のかも気になるのですが、おそらく公式には”発表されない”気がします。

 

次に気になるのが、このファイル共有サービスが何であったのか?ですが、関連記事を色々と読むと、特定している記事がありました。

更新の中で、RBNZ総裁のエイドリアン・オー氏は、この違反はサードパーティのプロバイダーであるアセリオンがハッキングされた結果であると述べた。

Acellionは、安全なファイル共有サービスを提供するカリフォルニアを拠点とするソフトウェア会社です。

RNZ記事より引用)※機械翻訳

 

Accellionは米国カリフォルニア州を拠点とする、プライベートクラウドサービス提供企業で、安全なファイル共有とコラボレーションに重点を置いています。

Wiki情報より引用

f:id:foxcafelate:20210112044459p:plain

パスワード付ZIP暗号添付ファイルが「安全ではない」と評価されている事や、作業ファイルが大容量になりメール添付では企業や組織の作業が難しくなってきている事から、こうしたサービスの需要が高まっている事もあり、サービス事業者であるAcellion自体が外部のハッカーから狙われた、というのが事件の背景である様です。

 

とは言え、こちらの会社のセキュリティ紹介ページを見ると、MFA(多要素認証※但し「一元的に適用」との記載からオプションな気がします)、TLS1.2、AES256、FIPS140-2・・・と、普通に考えれば十分なセキュリティ機能が含まれており、サービス基盤全般に関わる0ディ脆弱性があった、あるいは国が支援する様なAPT攻撃であったなら別ですが、個人的には”攻め口”が思いつきません。

f:id:foxcafelate:20210112051145p:plain


また、そうしたAPT攻撃であるならば、Accellion側も何か発表していておかしくないか(米国で大騒ぎになっていても不思議では無い)と思うのですが、Accellionのプレスリリースを見る限り、2021年に入ってのリリースはなく、特に深刻な問題が発生している様には思えません。

 

(以下過分に想像が入ります)

そう考えると、Accellionのいくつかの個別ユーザーの問題である可能性が高く、例えばニュージーランド準備銀行が、MFA(多要素認証)を導入してなかったが故にIDとパスワードの脆弱性を突かれた、あるいはSolarWinds事件で言うAPT攻撃「認証トークンの偽装」や「認証プロセスのバイパス」だったのかなと、現時点での情報を見る限りですが、考えます。

us-cert.cisa.gov

フェデレーションIDソリューションの侵害またはバイパス。
偽造された認証トークを使用して、Microsoftクラウド環境に横方向に移動します。

CISA Alerts内容より引用)※機械翻訳

 

2020年8月にはニュージーランド証券取引所大規模なDDoS攻撃を受けて4日間止まった事もあり、標的型攻撃だった可能性も多くの記事で推測していますが、現時点でそれを裏付ける様な情報は無い様です。

 

※今後調査が進み、更なる(有益そうな)情報が判明したら本記事を更新(又は別記事を書く)予定です。

 

 

本日もご来訪ありがとうございました。

Thank you for your visit. Let me know your thoughts in the comments.

防犯用カラーボールを投げる人のイラスト

 

更新履歴

  • 2021年1月12日 AM