NTTぷららが個人情報最大約800万件が漏えい!どのような不正アクセスをうけたのか?
NTTぷららが最大800万件の個人情報が漏洩した可能性があると発表しました。
この件はどのような経緯でなったのでしょうか。
この記事では詳しく説明をしていきます。
目次
新聞記事の内容
日経新聞では以下のような記事を記載しています。
NTTぷらら(東京・豊島)は2日、動画配信サービスの「ひかりTV」やインターネット接続サービスの顧客の氏名など、800万件の個人情報が流出した可能性があると発表した。
機器の配送を委託するNTT子会社のサーバーが不正なアクセスを受けた。
NTTぷららによると流出した可能性があるのは、ひかりTVなど同社のサービスの利用者で、2009年8月から21年6月までにルーターなどレンタル機器を受け取ったり返却したりした顧客の情報。
配送先として記録されていた氏名や住所、電話番号といった情報で、クレジットカード番号は含まれていないとしている。
物流会社のNTTロジスコ(東京・大田)に配送を委託しているが、6月30日午前9時すぎ、千葉県市川市内の物流センター内のサーバーに不正アクセスがあったことが分かったという。
データは消失したが、個人情報にアクセスした痕跡があったとしている。
引用:日経新聞
この記事によるとNTTぷららが運用するシステムの問題ではなく、配送を委託している物流会社であるNTTロジスコのサーバーに不正アクセスがあったことが原因としています。
800万件から500件に
そのあとの調べにより、漏洩したのは800万件から500件に大幅減少されました。
また漏洩した情報も悪用されたのは見つかりませんでした。
個人情報漏洩の原因とは
NTTぷららが配送を委託している業者である、NTTロジスコの物流システムが不正アクセスされたのが原因です。
この不正アクセスにより、危機の固有番号の他、利用者の住所や名前、電話番号などの情報が漏洩されました。
この中にNTTぷららが委託したものもあったということです。
配送情報を扱うフォルダーに侵入
今回の不正アクセスの詳細ですが、WEB経由で不正侵入したあと、物流センターの別棟のサーバーにラテラルムーブメントしたということです。
ラテラルムーブメントとは
それではさらにラテラルムーブメントを詳しく説明していきます。
ラテラルムーブメントの概要
ラテラルムーブメントの特徴である横移動は、潜在的な脅威を特定するための偵察、ログ分析、ネットワーク分析などに頻繁に使用されます。
横移動によって収集された情報をもとに、アナリストは偵察に使われたプロセスなど、疑わしいプロセスを特定することができます。
ラテラル・ムーブメント・テクニックは3つのステップで構成されています。
第1段階 ハッカーは、侵害されたシステムに一連のIPパケットを送信します。
これらのパケットには、侵害されたシステムの時刻、日付、IPアドレスなどのハッカーの情報が含まれています。
第2段階 ハッカーはパケットを侵害されたシステムに送信します。
第3段階 ハッカーは侵害されたシステムが送信した応答メッセージに対する返信を送信します。
いったんハッカーが侵入すると、データの送受信、読み取り、さらにはデータの変更など、さまざまな操作を行うことができます。
攻撃が成功すると、ハッカーは入手した情報をもとに、さまざまな不正文書を作成したり、偽装メールを拡散したり、その他の行動をとることができます。
多くの場合、攻撃者はネットワークに足場を得て、それを利用してメールを発信したり、データを送信したりすることができます。
ラテラルムーブメントの手口
ネットワークなどの捜索
ハッカーはターゲットのOSやアプリケーションの脆弱性を捜索します。
オペレーティングシステムの脆弱性を利用して認証トークンが奪われてしまうウイルスと手口は似ています。
また、ハッカーは、対象となるネットワークのセキュリティ・ポリシーや、セキュリティ手順の確認をします。
どのシステムがネットワーク・サービスを実行しているか、そのシステムが無線やワイヤレス対応のデバイスに接続されているかのチェックを行います。
ネットワークに不正アクセスすると、ハッカーはC&Cサーバを使用してネットワークサービスを検索し、ターゲットネットワークの偵察を行います。
ハッカーはネットワークのオペレーティングシステムにアクセスし、ネットワークサービスを提供するソフトウェアを検索するのです。
ハッカーは、C&Cサーバーをホスティングしている企業のソフトウェアを探し、C&Cサーバーをプロキシとして使用したり、ゲートウェイとして使用したりして、C&Cサーバーへのアクセスを試みます。
また、ハッカーはターゲット・システムの無線LANの特定を進めます。
ユーザー情報の取得
認証情報を収集した後、攻撃者はこれらの認証情報を使用してシステムへのアクセスを行います。
認証情報が良好な場合、攻撃者は正当なコマンドを実行することができます。
認証情報を取得すると、悪意のあるサーバに送信されることがあります。
ここで、ハッカーはユーザに対して何らかの操作を行います。
例えば、パスワードを変更したり、フィッシングサイトにリダイレクトしたりします。
このプロセスは一見無害のように見えますが、認証情報に関する情報が明らかになることもあります。
例えば、クレデンシャルが有効であることを発見し、ハッカーが情報を盗むことができるようになるかもしれません。
ハッカーが侵害されたサーバーを侵害することができれば、システムに保存されているクレデンシャルをダウンロードすることができます。
ここで、脅威が極めて高くなります。
サーバーの視点では、認証情報は暗号化されており、ハッカーはそれを解読することができません。
ハッカーの視点では、認証情報を解読するができないのです。
しかしハッカーは、キーロガーなどのより巧妙な方法で認証情報を解読することができる可能性があります。
ハッカーは、攻撃をしたシステム上でコードを実行する際に、さまざまな異なる攻撃してきます。
時には、脆弱なソフトウェアアプリケーションの古いバージョンを利用して、リモートエクスプロイトを起動するなどさまざまな手段を使ってくるのです。
ランサムウエア攻撃にもつながる
ラテラル・ムーヴメント攻撃者が侵害されたシステムから別のシステムに移動するための技術です。
ドライブイン技術が単一のターゲットに限定されるのに対し、ラテラル・ムーヴメントは複数のターゲットに、同時に複数の目標を達成するために活用することができます。
ハッカーは、ラテラルムーブメントの特性を生かし、ネットワーク内に侵入した際には、ネットワークのバックアップやストレージシステムに移動して、より多くのデバイスに感染させようとすることがあります。
また、ハッカーはWebブラウザを介して移動し、ブラウザの欠陥を利用してユーザーのコンピュータに感染させようとすることもあります。
ラテラルムーブメントを防ぐためには
ラテラルムーブメントは感染を拡大するため、いち早く見つける必要があります。
ここではラテラルムーブメントを防ぐ方法を説明していきます。
アンチウイルスソリューション
まず第一に、Windowsが動作するコンピュータは、アンチウイルスソリューションを使用して保護する必要があります。
Windows OSは、攻撃者にとって非常に脆弱であると考えられているため、常にパッチを適用する必要があります。
この知識があれば、企業はネットワークリソースを永続的な攻撃者の脅威から守ることができます。
これらの攻撃は、監視ツールを使ってネットワークの活動を監視し、強力なパスワードを使って機密データを保護することで防ぐことができます。
持続的攻撃者が検出された場合には、修復やサービスとしての修復を含む包括的な対応策を開始することができます。
組織の機密データに対する攻撃を軽減するためには、定期的・計画的なバックアップの実施や、エンドユーザが最も安全なパスワードを使用することを優先してください。
持続的な攻撃の被害に遭わないためには、IT担当者は、システムが適切に設定され、利用可能な最新のソフトウェアに更新されていることを確認する必要があります。
また、セキュリティパッチやポリシーを適用することで、攻撃の被害を軽減しなければなりません。
そのためには、必要な認証情報、システムの動作、時間帯などの主要なイベントを継続的に記録することが重要です。
AIで防ぐ
AIを使って、ラテラルムーブメントを防ぐ研究もされています。
ラテラルムーブメントは感染を拡大させる働きがあるため、いち早く検知することが重要なのです。
平常状態では行われないネットワークアクセスを検知すると、ASIは「異常」と判断して管理者へ報告します。
例えば、事務部門のPCから開発用サーバへのアクセスが行われた場合や、開発部門内のPC同士が直接通信を行った場合、または通常は社外ネットワークへの通信を行わない開発用サーバがWebプロキシサーバへの通信を行った場合などです。
部門内端末同士の直接の接続はラテラルムーブメントでよく見られ、また、開発用サーバからWebプロキシサーバへの接続はマルウェアの攻撃プロセスにおける目的遂行フェーズで行われます。
特にラテラルムーブメントの検知は重要です。
従来のサイバー攻撃対策システムはマルウェアの初期潜入と目的遂行をとらえるものが主であり、いったん入口を突破されると攻撃の目的遂行まで検知が非常に困難になってしまうという問題があるからです。
ASIは初期潜入と目的遂行の間、すなわちラテラルムーブメントでも検知できるため、攻撃検知のチャンスをより増やせます。
引用:NEC
ラテラルフィッシングとは
ラテラルフィッシングの概要や広まっている理由、対策などを説明していきます。
ラテラルフィッシングの概要
ラテラル・フィッシング攻撃は、顧客の貴重な情報を盗む目的で使用されることがほとんどですが、場合によっては、企業のネットワークやデータへのアクセスにも使用されることがあります。
ラテラル・フィッシングは、通常、攻撃者が被害者のアカウントになりすましてフィッシング・メールを送信する際に起こります。
攻撃者は、被害者の名前でメールアカウントを作成し、それを使って被害者のアカウントにメールを送信します。
この攻撃は通常、ハッカーに侵入された組織や、ユーザーを騙して添付ファイルを開かせたり、既知の悪意のあるメールドメインからの迷惑メールを受け入れさせようとする組織に対して使用されます。
テラル・フィッシングはしばしば巧妙です。
検知するのが難しく、回避するのも簡単です。
ラテラル・フィッシングでは、一見すると正当なメールに見えますが、実際には正当なメールアドレスから被害者のアカウントに似たアカウントに送信されます。
場合によっては、攻撃者が別の電子メールアドレスから別のE-mailにフィッシング・メールを送ることもあります。
テレワークで急増している理由とは
テレワークにおいて、ラテラルフィッシングの被害が急増しています。
一つの理由としてテレワークをする上で、Microsoft 365するケースが多いことがあげられます。
Microsoft 365には、グループチャットやファイル保存、サポートなど、テレワークアカウントの作成・利用に最適なサービスがいくつか用意されています。
各種サービスへのアクセスやクラウドへのアクセスに標準的なURLを使用しており、これらのサービスに共通URLからログインすることができるため、IDやパスワードがのっとられると危険な状況になるのです。
そのため、Microsoft 365におけるラテラル・フィッシングを防ぐためには、以下のような対策が有効です。
- すべての従業員がインターネットにアクセスできることを確認する。
- すべてのログインに常に同じ認証情報を使用する。
- 従業員がそのIDを特定のサービスにのみ使用できるように、常に固有のセキュリティ識別子を提供する。
ラテラルフィッシングを防ぐためには
ラテラル・フィッシングは、可能性というよりも脅威です。
このような攻撃を避けるためには、以下のことを実施する必要があります。
- 組織のコンピュータ・ネットワーク・インフラが安全であることを確認する。
- すべての従業員がITおよびコンピュータ・ネットワークにアクセスできることを確認する。
- 組織のITインフラが安全であることを確認する。
- 従業員がフィッシングメールの危険性を認識していることを確認する。
- 従業員がラテラル・フィッシング攻撃を防ぎ、対応するための適切な手順についてトレーニングを受けていることを確認する。
Google Cloudでの対応
テレワークの需要が高まり、クラウドサービスの利用者が増えています。
しかし多くのユーザーがいるクラウドサービスはラテラル ムーブメントの被害を受ける可能性が高くなります。
そこでGoogle Cloudでは以下のようなラテラル ムーブメントに対する対応策を説明しています。
ラテラル ムーブメントを防ぎ、組織のセキュリティを維持するには、「多層防御」のアプローチをとることをおすすめします。
そうすれば、互いに補強し合うように構築された複数のセキュリティ レイヤによってユーザーやデータを保護できます。
あるレイヤが回避または突破された場合でも、他に多くのセキュリティ レイヤが控えており、攻撃者の目的遂行を阻止します。
Compute Engine に多層防御アプローチを導入するには、以下のことを実施する必要があります。
- 本番環境リソースをインターネットから切り離す
- デフォルト サービス アカウントを無効にする
- サービス アカウントの認証情報へのアクセスを制限する
- OS Login を使用して VM へのアクセスを管理する
- 最小権限の原則を適用する
- ログを収集してシステムをモニタリングする
引用:Google Cloud
まとめ
NTTぷららが個人情報を漏洩した件は、発送会社のシステムが不正アクセスされラテラルムーブメントの被害にあったことが原因でした。
今回は500件の漏洩、そしてそれらの悪用されることはなかったのですが、ラテラルムーブメントは非常に怖い攻撃です。
ラテラルムーブメントはいったん感染したウイルスを、さらに横に広げていく性質があります。
そのため放置しておくと、どんどん被害が大きくなっていくのです。
ラテラル・フィッシング攻撃は、その検知と対応が難しくなっているため、従業員にとって非常に深刻な問題となっています。
システム開発のITパートナー探しをされるのであれば
システム開発のITパートナー探しをされるのであれば「システム開発コンシェルジュ」で是非ご相談いただければと思います。
以下のフォームより開発でご相談いただきたい内容などご相談ください。
