みっきー申す

ITに関する興味関心のまとめ、サイバーセキュリティニュースのまとめ、Twitterで配信中の情報まとめなどを公開します。

トップ > インシデント > ダークネットで観測された2020年に日本を標的とした数々の攻撃について

ダークネットで観測された2020年に日本を標的とした数々の攻撃について

インシデント サイバーセキュリティ ベンダーレポート ランサムウェア 脆弱性情報

f:id:micro_keyword:20201120011708j:plain:w400

イスラエルのサイバーセキュリティインテリジェンス企業であるKELAより、日本に対するサイバー攻撃の観測状況が公開されました。

ke-la.com

これらの情報については、KELAがダークウェブに対して行った独自情報に基づくものなので、情報を活用する際には、慎重に取り扱うことをオススメします。

本記事では、公開された情報をもとに概要をまとめます。

目次

日本を標的にした攻撃の脅威について

まずは以下の図をご覧ください。

https://ke-la.com/wp-content/uploads/2020/11/1-1024x572.png

英語で表記されていますが、なんとなく意味はおわかりかもしれませんが、一つ一つ掘り下げてみます。

日本におけるランサムウェア被害

まず、左上では、日本におけるランサムウェア被害の検出です。

2020年6月から10月に、少なくとも11の企業がランサムウェアの犠牲者となっていることが確認されています。

影響を受けた企業は製造業、建設業、政府関連産業で、確認された被害額として、年間で約1,430億ドル、330億ドル、20億ドルが確認されているとのことでした。

Eメールなどで利用される認証情報の漏洩

右上では、Eメールの認証情報が1億200万件漏洩していることを示し、下の図では、5300万件の認証情報(Eメールや他のサービスで使われるもの)が漏洩していることを示しています。

これらは、2020年6月から10月にかけて、日本の企業、NPO教育機関、政府機関、研究所など様々な機関が侵害され、認証情報を漏洩させてしまっていることを示します。

販売される個人情報

以下の図に示す通り、漏洩した個人情報はダークウェブ上のフォーラムにて取引がなされます。 ここでは、投稿者が所持するデータの概要が書かれていますね。

https://ke-la.com/wp-content/uploads/2020/11/4-1024x623.png

そして、KELAの調査によると、漏洩したEメールのドメインのTOP10は以下のように示されます。

https://ke-la.com/wp-content/uploads/2020/11/5-1024x635.png

Yahooがダントツで多く3,500万件ですが、10位のソフトバンクのキャリアメールでも数百万件単位で漏洩していることがわかります。

ちなみに、漏洩した情報は、このように提供されます。

https://ke-la.com/wp-content/uploads/2020/11/6-1024x510.png

そして被害組織の内訳を示すと以下の通りで、大半が法人企業ですが、政府系機関や教育/研究機関でさえ、それぞれ相当の数が漏洩していることがわかります。

上図がEメールの認証情報、下図がアカウント情報

https://ke-la.com/wp-content/uploads/2020/11/7-1024x608.png

https://ke-la.com/wp-content/uploads/2020/11/8-1024x642.png

ランサムウェアの被害

ダークウェブ上では、ランサムウェアの被害も垣間見ることができています。

以下の図は、日本の船舶検索ネットワークへのアクセス情報(ドメイン管理者相当)が販売されていた時の画像です。

https://ke-la.com/wp-content/uploads/2020/11/9-1024x362.png

この情報は、157,000円で提供されていたことが確認されており、1週間後には、REvil(sodinokibi)ランサムウェアの被害に遭った船舶設備の機関だとされるサイトが確認されています。

https://ke-la.com/wp-content/uploads/2020/11/10-1024x597.png

これら二つの事象が直接関係しているかを証明する証拠はありませんが、おそらく関連しているのではないかとKELAは言及しています。

他には、105,000円で医科大学の認証情報が販売されていることも確認されており、ダークウェブの住人が、世界の感染症情勢を鑑みず、遠慮なしに標的としていることが推測されます。

https://ke-la.com/wp-content/uploads/2020/11/11-1024x485.png

そして、以下に示す通り、2020年6月から10月の期間だけでも、7種類のランサムウェアを用いて、11の組織の被害が確認されています。

https://ke-la.com/wp-content/uploads/2020/11/12-1024x471.png

このうち2社は、ホンダとキヤノンであることを言及しています。 (公開情報だしいいのかな。。。)

https://www.honda.co.jp/content/dam/site/www/investors/cq_img/library/report/FY202003_yuho_j.pdf

https://www.bleepingcomputer.com/news/security/canon-confirms-ransomware-attack-in-internal-memo/

このうち最も活発なランサムウェアはDoppelPaymerであり、少なくとも建設、自動車、製造業界の4つの大手日本企業を攻撃したことが確認されています。

以下の図はDoppelPaymerのリークブログで公開されたスクリーンショットになります。

https://ke-la.com/wp-content/uploads/2020/11/13-1024x531.png

DoppelPaymerのリークブログが開設された際には、実は当ブログでも紹介していたりもします。 (とはいってもあんまり反響なかったんですよね。。。)

micro-keyword.hatenablog.com

その他にもMazeランサムウェアのリークサイトで日本のメーカーの文書ファイルが晒されていることも確認されています。

https://ke-la.com/wp-content/uploads/2020/11/14-new.png

Pulse Secureの脆弱性(CVE-2019-11510)悪用による被害

さらに、Pulse Secureの脆弱性(CVE-2019-11510)を悪用した攻撃でLockBitに観戦した可能性も以下の書き込みからは確認できます。

https://ke-la.com/wp-content/uploads/2020/11/16-1024x353.png

KELAの独自調査に基づくとPulse Secureの脆弱性(CVE-2019-11510)を悪用した情報漏洩の被害組織の10%は日本企業だとのことなので、悪用のリスクは日本で十分高いと考えられます。

https://ke-la.com/wp-content/uploads/2020/11/18.png

https://ke-la.com/wp-content/uploads/2020/11/19-1024x513.png

まとめ

KELAの調査内容は刺激的ですね。

ダークウェブとなると、その調査方法もひと工夫必要となるのでその信ぴょう性は少し陰りが出てしまうので、冒頭で述べた通り、「参考程度の情報」としてとらえていただくくらいがちょうどいいのかなと思います。

ただ、すでに被害に遭っている組織名からもわかる通り、なかなか情報の精度は高いところにあると考えてもいいのかなと思っています。

特にKELAの情報は購入している組織も多いと聞いています。

餅は餅屋に、という発想のもとこういった情報との付き合い方も、CSIRTやSOCの人たちには重要な要素なのかなと思います。