攻撃のあらましを順に追っていきましょう。第1次攻撃は、2017年10月27日から12月末まで行われました。そして、この攻撃が明らかになったのが2018年2月6日。検知まで時間がかかったのは大きな問題ですが、その手口を見れば、“なぜ、見つからなかったのか”という点に少しは納得がいくでしょう。
というのもこの攻撃は、よくあるような「(マルウェアを送り込むために)添付ファイル付きスパムメールを無差別に送信する」ものでも、ましてや「何らかの形でネットワーク上の弱点を突く」ものでもなかったのです。その第一手は、「クラウドサービスとして産総研の外部にあったメールシステムのアカウントに対する、継続的な不正アクセス」でした。
「つまり、何をやったの?」という人に詳しく説明すると、その内容は「誰でも表示可能なオンラインのログイン画面に、IDとパスワードを入力する」――たったそれだけでした。攻撃者はこの方法で、2017年10月27日から31日までに、9人の職員のアカウントに不正にログイン。そこから“全職員のログインID=メールアドレス”を手に入れます。メールシステムにある組織内の「アドレス帳」を利用すれば、簡単に取得できてしまったのです。
産総研における不正アクセスの侵入経路概略図(「産総研の情報システムに対する不正なアクセスに関する報告」から引用) さて、ここで1つ疑問が生まれます。最初の不正ログインの前に、攻撃者はどうやって職員のIDとパスワードを知ったのでしょうか。実際のところ、こうした組織のアカウントID=メールアドレスは、ある程度“公開情報”に近いものですから、問題はパスワードです。第1次攻撃では、攻撃者が100人分ものパスワードを突破しました。
この報告書では、
第1次攻撃の被害アカウントの利用者に聞き取り調査を行ったところ、設定されていたパスワードは、キーボード配列をなぞっただけの安易なものが大半を占めていた
とあります。
つまり、典型的な「弱いパスワード」が奪われ、攻撃の入り口になったのです。
攻撃者は、奪ったID/パスワードの組み合わせを使って、メールシステムと共通のログイン情報を使っていたファイル共有システムへ侵入。不正なアクセスを成功させます。次に、メールの内容からファイルサーバを特定し、システム内部の重要なサーバへも不正アクセスを成功させました。
「メールのアカウントを奪われる」ということは、攻撃者にシステムのさまざまな情報を伝えてしまう、ということに他なりません。この報告書はそんな、皆が「もう知ってる」と思い込みがちな知識の重さを教えてくれる、大変良い資料といえるでしょう。
そしてもう一つ、報告書の中で“ある一文”が非常に気になりました。
Copyright © ITmedia, Inc. All Rights Reserved.
次回の掲載をメールで受け取る
<div style="clear:both;margin:15px 0 0 0;padding:10px;"><!--●概要文--><div style="background:#eee;padding:5px 10px;font-size:small;margin:5px 0px 0px 0px;">※こちらのページには2015年4月以降の記事を掲載しております。<br>2014年11月〜2015年3月の記事をご覧になりたい方は「 <a href="/bizid/series/1129/" style="color:#369;">2014年11月〜2015年3月の記事一覧</a> 」を、2014年10月以前の記事をご覧になりたい方は「 <a href="/makoto/series/1129/" style="color:#369;">2014年10月以前の記事一覧</a> 」をご覧ください。</div></div>
"使いやすいパスワード”が、大規模組織のシステムをつぶす――「恐怖の実話」はなぜ起こったのか
