Fox on Security

セキュリティリサーチャー(インシデントアナリスト)で、セキュリティコンサルタントのキタきつねの独り言。専門はPCI DSS。

”採掘”を狙った店舗攻撃

海外事件 つぶやいてみた。

スペインのデパートと家電量販店が、暗号通貨採掘の被害を受けた様です。

www.bitdefender.com

スペインのタラゴナの警察は、暗号通貨をマイニングする目的で、ハイストリートストアのコンピューターをマルウェアに感染させた疑いで男性と女性を逮捕しました。

名前が付けられていないカップルは、ElCorteInglésデパートとMediamarkt電子機器小売店の支店で少なくとも16台のコンピューターをハッキングし、NicehashマイナーとAnydeskリモートアクセスソフトウェアをインストールしたとして告発されています。

 

キタきつねの所感

捕まったのは33歳のカップルで、いわゆる店頭デモ端末に不正なマルウェアを仕掛ける為に、ソーシャルエンジニアリング手法を採った様です。

女性は店で買っていたことをノートパソコンを起動する助けを求めることにより、スタッフを気を取らせ、一方、彼女のパートナーは、対象のコンピューターにUSBスティックを挿入し、マイニングおよびリモートアクセスソフトウェアをインストールしたと言われています。

 

目の付け所は、良かったのかと思います。事実、記事には16台が感染と書かれているので、ソーシャルエンジニアリング攻撃が成功している事が分かります。

店舗によって”店員がすぐ寄ってくる”率は違うかと思いますが、例えば平日の朝であれば、閑散としたPC売り場もよく見かけますので、端末が初期設定のままになっている、あるいはクリティカルな脆弱性に修正パッチが当たってない(アンチウィルスソフトが起動してない)端末を探す事も可能な、家電量販店等のデモ機は盲点かも知れません。

そして、数少ない有人監視の役割を持つ”店員”を、仲間の女性が引き付けている間に、男性が短時間で”USB感染させる”。数々の映画で見た手口ではありますが、攻撃シナリオとしては悪くないものだと思います。

 

では、何故容疑者カップルは逮捕されたのか・・・

 

記事を読む限り、2つのポイントでミスを犯していたかと思います。

1つ目が、マルウェアが動作した後に「どうなるか」を想像してなかった事、いわゆる机上の空論によるミスです。

確かに、Mediamarktの店舗スタッフが、顧客に展示されている真新しいゲーミングコンピューターのファンが大爆発しているのではないかと疑ったときに、セキュリティ違反が発見されました。

Bitdefender記事より引用)※機械翻訳

 

マイニング作業は、PCの計算能力を多く必要とし大量の電力を食うだけでなく、発掘作業中に端末が”熱を発する”事で知られています。

企業や個人がマイニングをするのであれば、当然の事ながら”冷却対策”を考えるのかと思うのですが、容疑者カップルは、家電量販店やデパートのデモ環境を無料でハッキングする事に目が向き、そこまで気が回らなかったのだと思います。その結果、ファンの異常音(高熱)を店員に気づかれた様です。

 

2つ目のミスは、容疑者特定に至った致命的なミスとなりました。それが”監視カメラ”映像です。

メディアマルクトの防犯カメラは、店を訪れたカップルを3回撮影し、警察はその映像から彼らを特定することができました。

Bitdefender記事より引用)※機械翻訳

 

店舗に実際に足を運ぶ事が必要な攻撃だったので、もしかすると容疑者カップルはこのリスクを承知した上で、”バレない”(1つ目のミスがなければ)と考えていたのかも知れませんが、仮に感染が判明した場合、当然の事ながら監視カメラ映像から犯人が特定される可能性が高い事に対して、容疑者カップルは(恐らく)対策してなかったのかと思われます。

 

模倣犯行のヒントになってしまう可能性があるので詳細記載は避けますが、死角や時間差を利用する”対策”もあったのかと思います。

また、1つ目のミス(ファンの音・熱からの発覚)を考えると、私だったら違う手法を選択したと思います。その為のヒントが記事に書かれていました。

NicehashマイナーとAnydeskリモートアクセスソフトウェアをインストールしたとして告発されています。

Bitdefender記事より引用)※機械翻訳

 

リモートアクセスソフトウェアをインストール出来た、という事は、そのデモ環境では、何らかの形でインターネットに接続が出来たという事になるのかと思います。

暗号通貨採掘のマイナーソフトやリモートアクセスツールを、店舗で時間をかけてインストールしていたから”見つかってしまった”のであって、端末あるいはNW機器にバックドアを仕掛けて、後は外部から”改めて攻撃”する方が、成功率は高くなる気がします。

 

これも詳細記載は避けますが、この手の攻撃で重要な点は”気づかれない様に長く環境を利用する”事なので、もう少し攻撃シナリオ(手法)を変えるべきだったのかと思います。

※攻撃も防御側も「計画(シナリオ)の実効性」について、テストする、あるいは第三者視点(コンサル)を入れるなりして、精度を高める、その事が成功の鍵だと思います。

 

談です。PCデモ機の環境を持つ、家電量販店やデパート視点で考えると、まずUSB接続を許しているのが問題です。次にデモ環境が”内部から攻撃を受ける”可能性についてインターネット接続(出入り)を監視する事が重要かと思います。

本来であれば修正パッチ当てと、最新のアンチウィルスソフト・・と言いたい所ですが、デモ機でそれはなかなか難しい部分もあるかと思いますので、インターネット接続を制限してしまって、顧客から要求があった時だけ、店員の操作でネット接続するといった運用にしていくのが次善の策かと思います。

 

 

本日もご来訪ありがとうございました。

Thank you for your visit. Let me know your thoughts in the comments.

 

仮想通貨をマイニングするコンピューターのイラスト

 

更新履歴

  • 2021年11月22日 PM