Fox on Security

セキュリティリサーチャー(インシデントアナリスト)で、セキュリティコンサルタントのキタきつねの独り言。専門はPCI DSS。

ハッカーは大学内にいるかも知れない

つぶやいてみた。

学生が狙う情報資産の最たるものが”試験問題”である事は疑いの余地はありませんが、英国の大学生は、その資産の販売から「足がつかない」様にする”追試”には対応できなかった様です。

www.infosecurity-magazine.com

英国の大学のコンピュータネットワークをハッキングし、試験の回答を売って数千ドルを稼いだ学生は、懲役刑を言い渡されました。

(中略)

カーディフクラウンコート は 、XXXXが「非常に洗練された」サイバー犯罪手法を使用して18か月間デジタル侵入を隠したと聞きました。 

数学の講師であるXXXXが、多くの学生が同じ答えで試験問題に答えたことを発見したとき、大学でデータ侵害が発生したという疑いが引き起こされました。生徒のうち5人は、元のワーキングペーパーに含まれていたのと同じ入力ミスを含む回答をしました。 

データ漏えいの程度を確認するために、大学は約1億4000万件のログインレコードを処理しました。彼らの調査により、XXXXが30歳の同居人であり、仲間の学生であるXXXXと住んでいたトレフォレストの住居にリンクされたIPアドレスにたどり着きました。 

 

キタきつねの所感

私が学生だった遠い過去ではありますが、少し重た目な課題レポートを作成するのにあたり、学校のネットワーク上に無防備に置かれていた他の学生のレポートを参考にする程度の話はよくありました。

※今で言う意図せぬ公開情報を狙ったハッキングと言えるかも知れません。

 

とは言え、当時は教員側の”ガードは固く”、ハッキ…(ゴホゴホ)技術に長けた友人でも、学科の試験問題まで入手した猛者は居なかった様に思います。

 

それに比べて、今はパスワード攻撃ツールや親切丁寧なハッキング法解説も探せばネット上に見つかるだけでなく、昨日の記事にも触れた様に、管理者パスワードすら少しDarkな所に転がっている時代です。

 

この記事を見ると、侵入手口は我々の時代よりはるかにスマートなもので、キーロガー端末を使って教員の認証情報を窃取し、その情報を使って同居している友人のIPアドレス(≒自宅)を使って大学のネットワークに不正ログインを繰り返していた様です。

彼らの調査により、Aljayyashが30歳の同居人であり、仲間の学生であるNoureldienEktarkiと住んでいたトレフォレストの住居にリンクされたIPアドレスにたどり着きました。

(中略)

キーロガーバイスを使用して大学職員のログイン詳細を取得し、それらを使用して約700回ネットワークにアクセスしたと判断されました。

Aljayyashは、試験問題、採点、レポート、コースワークなど、大学から216個のファイルをダウンロードしました。違法に入手した文書のコピーを販売することにより、Aljayyashは約27,000ドルを稼ぎました

(Info Security Magazine記事より引用)※機械翻訳

 

ここで疑問なのが、キーロガーの不正設置です。記事では「キーロガーバイス」と書かれていたので、ソフトウェアタイプではなく、USBタイプなど物理的な情報窃取機器が使われていたと推測されます。

 

※「キーロガー」「USB」といった検索をすれば、日本でも普通に入手可能である事が分かります。

 

KeyGrabber Forensic Keylogger 16MB - 超コンパクトUSBハードウェアキーロガー

KeyGrabber Forensic Keylogger 16MB - 超コンパクトUSBハードウェアキーロガー

  • KeyGrabber
Amazon

 

最近の企業では、バイスロックを使って不審な機器の接続を防止するのが普通だと思いますが、大学側ではこうした対策をしていなかったのでしょうか。

また、検知の部分でも18か月不正アクセスに気づいてない事から、大学側の「内部に入られると甘い」体制であった事を予感させます。

たまたま攻撃者(ハッカー)の狙いが、試験問題などの機微な情報だったので、試験のチート程度で済んでいますが、USBのキーロガーによる窃取(侵入)が成功していた場合、ここをランサムウェア」感染に置き換えただけで、想定される結果は大分違ってきます

 

逮捕された学生が、例えば盗んだ試験問題を少しアレンジして配布していたら・・・

購入者1人1人に8割だけの試験問題と解答の組み合わせで売っていたら・・・

 

不正アクセスまったく気づかずに終わっていたかも知れません。

 

更に言えば自宅から不正ログイン試行をするのではなく、ハッカーVPNを利用したり、無料プロクシーを駆使したりしていれば、”迷宮入り”していた可能性すら感じます。

 

記事では具体的な侵入ポイントが書かれている訳ではないので、どういった脆弱点があったのかについて分かりませんが、仮に予算が無くて不正検知ツールが導入出来て無かったのだとすれば、教育機関という立場を活かして「バグバウンティ」(報奨金)プログラムを立ち上げて、潜在的な学内ハッカーを味方につける事も考えられたかと思います。

ついでに言えば、プログラムに参加した”優秀な学内ハッカー”にバイト代を払って、防衛側に引き込んだ方が、こうしたインシデントに対して強いセキュリティ体制を構築できる可能性を感じます。

 

日本の実情とどれだけ合っているか分かりませんが、英国大学のこのインシデントから考えると、大学は(日本の大学も)内部犯行に対して「ゼロトラスト」思考で対策を見直すべきであり、仮に対策リソースが足りないのであれば、学内にいる人財を有効活用する事を考えるべき時期に来ていると思います。

 

本日もご来訪ありがとうございました。

Thank you for your visit. Let me know your thoughts in the comments.

 

 カンニングをしている男の子のイラスト

 

更新履歴

  • 2021年9月11日 AM