攻撃者のラップトップやRaspberry Piデバイスが社内ネットワークに？

オフィス内部からの攻撃「DarkVishnya」、カスペルスキー研究者に聞く

2019年11月25日 07時00分更新

文● 大塚昭彦／TECH.ASCII.jp

　セキュリティベンダーのカスペルスキーでは昨年末、同社が「DarkVishnya（ダークビシュニヤ）」と名付けた金融機関への攻撃キャンペーンについての情報をブログで公表した。複数の金融機関が被害にあったこの攻撃の特徴は、攻撃用の物理デバイスをターゲットのネットワークに直接接続する、という大胆な攻撃の手口がとられた。

　そのインシデント調査に携わったカスペルスキーの上級セキュリティリサーチャー、セルゲイ・ゴロバーノフ氏に、DarkVishnya攻撃の詳細について聞いてみた。

Kaspersky コンピューターインシデント調査部門上級セキュリティリサーチャーのセルゲイ・ゴロバーノフ（Sergey Golovanov）氏

ターゲット企業のネットワークゲートウェイを回避して社外から攻撃命令を通信

　カスペルスキーのブログ記事によると、DarkVishnya攻撃では東ヨーロッパにある複数の金融機関（少なくとも8社）がターゲットとなった。最終的に金銭を盗み取ることを目的とした攻撃であり、およそ700万ドルの被害があった。ゴロバーノフ氏らカスペルスキーのインシデント調査チームでは、2017年から2018年にかけて調査を実施し、そこで“攻撃用デバイスをターゲット社内に持ち込む”という大胆な犯行の手口を発見した。

「DarkVishnya：オフィス内部からの攻撃」というブログ記事で攻撃の概要が紹介されている

――まず、こうした攻撃が行われていることがどうして発覚したのですか。

ゴロバーノフ氏：攻撃が発覚したのは3年前（2017年）、銀行のATMから多額の現金が不正に引き出された事件がきっかけだ。ただし（通常の攻撃手口とは異なる）すごくおかしな攻撃だったため、われわれはインシデント調査のために銀行の本社ビルに向かった。

　その本社ビルでは、2階より上のフロアに入るためにはIDカードによる認証が必要だったが、1階は来客用のミーティングルームなどがある、誰でも簡単に入れるフロアだった。ミーティングルームにはテーブルや椅子、モニターディスプレイ、そしてネットワークの接続ソケットなどがあった。

　そしてわれわれは、あるミーティングルームのテーブルの下に小さなラップトップが設置されているのを発見した。このラップトップは室内の電源コンセント、そしてネットワークのソケットに接続されていた。

――「すごくおかしな攻撃」とおっしゃいましたが、何がおかしかったのですか。

ゴロバーノフ氏：まずは一般的なサイバー攻撃を疑い、社内ネットワークからインターネットに抜けるトラフィックのログをチェックしたのだが、たとえば外部のC2サーバーとの通信のような怪しい動きは一切検出できなかった。だから「何かがおかしい」と考え、実地調査を行うことにした。

　実際の攻撃者が何をやっていたのか。実は、発見されたラップトップには、モバイルネットワークにアクセスするためのLTEモデムも接続されていた。つまり攻撃者は、ターゲットのネットワークを回避して、モバイルネットワーク経由でこのラップトップを操作していたわけだ。

　このラップトップが見つかるまでは調査も難航していたが、物的な証拠が見つかったことで調査が進んだ。もしも攻撃者たちが目的を達成した後、ふたたびビルに侵入してこのラップトップを持ち去っていたとすれば、その後の調査はさらに大変だっただろう。

――ブログ記事では、ラップトップではなく「Raspberry Pi」が見つかったケースも紹介されています。これはまた別の会社（ターゲット）ですか。

ゴロバーノフ氏：そうだ。Raspberry Piの場合は、25階建くらいの大きなビルの、天井裏のスペースで見つかった。エアコンのダクトや通信ケーブルが這い回っているようなスペースだね。

　その天井裏スペースには、ビル内にWi-Fiを提供するための機器が設置されていたのだが、そのそばでこのデバイスが見つかった。ふだんは誰も立ち入らないホコリだらけのスペースに、光り輝くボックスが置いてあって、その箱を開けるとRaspberry Piで作られたデバイスが組み込まれていた。

　ちなみにこのRaspberry PiにもLTEモデムが組み込まれていたが、このケースでは外部との通信に社内のWi-Fiを使っていた。モバイルネットワークは“バックアッププラン”として用意していたようだ。

――しかし、そんな場所に攻撃者はどうやって潜入したのでしょう？

ゴロバーノフ氏：まったく想像がつかないよ（笑）。天井裏に上るためのハシゴはあったので、設備をメンテナンスする業者、エンジニアなどに扮して忍び込んだのではないかと推測している。

　調査のため、われわれもホコリだらけの天井裏に上ることになったのだが、とても危ないハシゴだった。案内してくれた人が「ちゃんと生命保険に入ってますか？」と聞いてきたくらいだ（笑）。

――もうひとつ、USBメモリのような形をした「Bash Bunny」も見つかっています。ハッカーのフォーラムでふつうに売買されているデバイスだとも書かれています。

ゴロバーノフ氏：これはオフィス内のオープンスペースで見つかった。コンピューターのUSBポートに刺さった状態でね。

　最近の（Bash Bunnyの）バージョンはすごく凶悪なデバイスになっている。まず、PCに接続すると「USBキーボード」として認識される。さらにUSBモデムやSIMカードも内蔵しており、攻撃者はモバイルネットワークを経由して、リモートからコマンドを入力、実行することができる。

　これはセキュリティ担当者にとって、とてもやっかいな攻撃だろう。社内のPCが不審な動きを実行していたとしても、デバイスの存在に気付かなければ、社員が正規に入力したコマンドと見分けが付かないからだ。

　ちなみにBash Bunnyのケースは国際的な大手金融機関の本社だったので、通常は接続されていないデバイスがどこにあるのかを探すのはとても大変だった。

――根本的な疑問なのですが、ターゲットのビルに物理的な侵入を行うというのは、攻撃者にとっても非常にリスクが高い攻撃手法ではないでしょうか。

ゴロバーノフ氏：もちろんそうだ。ただし、莫大な額の金銭を盗み出せるチャンスがあるのであれば、そのリスクを犯してでもやってやろうと考えるのだろう。一種のギャンブルだね。

　だからこそ、攻撃者は疑われにくい侵入方法を探る。たとえば最初のラップトップのケースだが、設置されていたミーティングルームは採用面接にも使われる部屋で、1日に20人ほどが出入りしていた。こういう場所ならば、攻撃者でも比較的安全に侵入できるだろう。

攻撃者の「物理的な侵入」の可能性も念頭に対策の強化を

――さて、DarkVishnya攻撃を実行した犯人はいったい誰だったのでしょう。

ゴロバーノフ氏：こうしたインシデントでは、犯人のアトリビューション（特定）は難しい。

　ただし今回は、ある程度の自信を持って、既知のサイバー攻撃グループである「カーバナック（Carbanak）」だと断定できる。攻撃に使われたファイルレスマルウェアの中に、カーバナック固有の文字列、固有の数字が見られたからだ。たとえばマルウェアがリッスン（待ち受け）しているTCPポートの番号などが、（カーバナックの過去の攻撃と）一致しているからだ。

――ブログ記事では「大企業であればどこでも、このような攻撃に狙われる可能性があります」と書かれています。ネットワークゲートウェイでのセキュリティは万全でも、こうした部分はまだあまり備えができていないということでしょうか。

ゴロバーノフ氏：そもそも、攻撃者がここまでアグレッシブに（物理的にビルへ侵入してまで）サイバー攻撃を仕掛けてくることは想定していないだろう。われわれが調査を求められるケースも、通常はWebやEメールを介しての攻撃だ。

　なので、こうしたインシデントにももっと注目してほしいと思う。特に金融機関などでは、（ITシステムの）物理的なセキュリティ面にももっと投資が必要だ。札束や金塊を物理的に守っているのと同じように、ネットワーク機器も“金庫に入れる”ようなことをしないといけない。また、建物内のネットワークポートを物理的にふさぐといった対策もだ。

　社内ネットワークへの接続認証も、パスワードに加えて特別なUSBトークンを使わないとつながせないない仕組みにするなど、さまざまなセキュリティ強化策が考えられる。

――攻撃者ではなく、従業員が無許可で持ち込んだIoTデバイスが踏み台にされるような攻撃も考えられますよね。

ゴロバーノフ氏：実際にそういう事例にも遭遇したことがある。「スマート火災報知器」のデバイスだった。

　このデバイスにはさまざまなセンサーが内蔵されていて、建物内部の状況をモニタリングできる。そしてLANポートとSIMカード（LTEモデム）を内蔵していた。この古いデバイスに脆弱性があったので、攻撃者がリモートからハッキングして、不正にモニタリングできてしまった。

　古いIoTデバイスではこうしたケースがよくある。メーカーは大量のデバイスを販売するが、やがて古いバージョンのものを“サポート切れ”扱いにして、アップデートもせずに新しいバージョンのデバイスを発売する。こうした問題に対処するため、多くの国で、古いバージョンのデバイスもきちんとサポートするよう義務づける規制が始まっている。

　こうしたデバイスメーカーには小さい会社も多く、倒産してしまうようなケースも少なくない。デバイスは生き残り稼働し続けるが、メーカーはなくなっていてアップデートもサポートもされない、そんな問題が生じている。

　これまでのITセキュリティとは少し状況が違ってきている。その点に留意して、今後のセキュリティ対策や投資を考えるようにしてほしい。