DarkVishnya:オフィス内部からの攻撃

2018年12月19日

サイバーインシデントを調査するとき、感染源を探すことから着手するのが普通です。見つけ出すのはそう難しいことではありません。探す対象は、マルウェアが添付されたメールや悪意あるリンクが載っているメール、またはハッキングされたサーバーです。セキュリティの専門家は機器のリストを保有しているものなので、悪意ある活動がどのマシンから始まったのかを突き止めればよいのです。しかし、社内のコンピューターに問題が見つからないのに、悪意ある活動が続いているとしたらどうでしょうか。

最近、Kaspersky Labのエキスパートがまさにそのような事態に遭遇しました。何が起きていたかというと、攻撃者は自分が用意したデバイスを、企業ネットワークに物理的に接続していたのです。

DarkVishnyaと呼ばれるこの攻撃方法は、サイバー犯罪者が標的のオフィスにデバイスを持ち込み、企業ネットワークに接続するところからスタートします。そのデバイスを通じ、サイバー犯罪者はリモートから企業のITインフラに侵入したり、パスワードを傍受したり、共有フォルダーから情報を読み取ったりすることが可能です。

この攻撃の技術情報については、Securelistで詳しく解説しています(英語記事)。この事例で標的となったのは、東欧の複数の銀行でした。しかし、大企業であればどこでも、このような攻撃に狙われる可能性があります。規模が大きいほど、攻撃に好都合です。広いオフィスであれば、仕掛けたデバイスを隠しやすくなりますし、世界各地にある支社が1つのネットワークにつながっていれば、なおさら効率が上がります。

デバイス

この事例の調査に当たった当社のエキスパートは、3種類のデバイスを発見しました。3種類すべてが1つのグループによって使用されたものなのか、それとも複数の攻撃者がいたのかは今のところ不明ですが、攻撃の原理はすべて同じでした。使われていたデバイスは以下のとおりです。

  • 安価なラップトップやネットブック:攻撃者は最新モデルの機器を必要としていません。中古製品に3Gモデムをつなぎ、リモートコントロールプログラムをインストールすれば事足ります。後は気付かれないようにデバイスを隠し、ネットワークケーブルと電源ケーブルを接続するだけです。
  • Raspberry Pi:安価で目立たない小型コンピューターのRaspberry Piは、USB給電方式で、ラップトップよりも安く手に入る上、オフィス内に簡単に隠しておけます。複数のケーブルでうまく隠しながらコンピューターに挿しておけますし、ロビーや待合室にあるテレビのUSBポートに挿しておくこともできます。
  • Bash Bunny:ペネトレーションテスト用のツールですが、ハッカーのフォーラムで普通に売られています。専用のネットワーク接続は不要で、コンピューターのUSBポートに接続すれば使えます。USBメモリによく似ているので、隠しておくのは簡単ですが、デバイス制御テクノロジーがすぐに反応する可能性があり、成功率は低めです。

どうやって接続したのか

セキュリティを真剣に考えている会社であっても、このようなデバイスが絶対に入り込まないとは言えません。配送業者、入社希望者、顧客の担当者、パートナーがオフィスへの入室を許可されることは往々にしてあります。犯罪者がそのような人になりすますこともあり得ます。

リスクは他にもあります。オフィスの至るところにある、イーサネットソケットです。廊下にも、会議室にも、ホールにも。一般的な事業所を見回してみれば、ネットワークと電源に接続された小型デバイスを隠せるような場所がどこかにあることでしょう。

対策

この攻撃には、難点が少なくとも1つあります。攻撃者は必ずオフィスに入って、デバイスを物理的に接続しなければならないのです。そこで、外部の人が入れる場所からのネットワークへのアクセスを、まずは制限しましょう。

  • 誰でも立ち入れる場所にあるイーサネットのソケットは、使っていないのならば接続を切っておく。接続を切れない場合は、せめてネットワークセグメントを切り分けましょう。
  • イーサネットソケットが監視カメラに映るようにする(抑止力になりますし、何かあった場合には調査に役立ちます)。
  • 定評のあるデバイス制御テクノロジーを備えたセキュリティ製品を使用する(Kaspersky Endpoint Security for Businessなど)。
  • ネットワーク上の異常や不審な動作を監視する、特別なソリューションの使用を検討する(Kaspersky Anti Targeted Attack Platformなど)。