エフセキュアブログ : 中国

中国のハクティビストがベトナム空港のウェブサイトを改竄したとの報道がありました。併せて、ホーチミン市とハノイの空港のフライト情報表示画面とサウンドシステムが侵害をうけ、41万人以上の個人情報も窃取されたといいます。窃取されたと推測されるデータは、既にウェブ上で公開されていることが確認されていることから、データの内容の精査や事態の収束に向け関係者の懸命な対応が続いていると思われます。

参考URL
http://www3.nhk.or.jp/news/html/20160730/k10010614641000.html
http://www.yomiuri.co.jp/world/20160731-OYT1T50004.html
http://www.bbc.com/news/world-asia-36927674
http://tuoitrenews.vn/society/36243/alleged-chinese-hackers-compromise-hanoi-airport-system-vietnam-airlines-website

今回攻撃したグループは1937CNであり、ハクティビストとして知られています。過去に、日本に対しても過去に9.18の関係で攻撃していますので、次のような改竄画像を目にした方もいるのではないでしょうか。

さて、本件で非常に興味深いのは、通常ウェブサイトの改竄を主な活動としていた彼らが情報窃取を行ったとされる点です。今回改竄被害があったウェブサイトは航空会社だけではありません。と、いうよりも常日頃から攻撃を受けているような状況です。
この辺を考慮しますと、今回は明らかに標的に対する攻撃を強化しています。その背景事情は知る由もありませんが、中国ハクティビストの今後の動向が気になるところです。

日本においても他人事ではないようです。彼らは日本やインドに対しても警告をしていることから、政治や国際情勢によっては攻撃が強まることが予想されます。
今回の件を踏まえますと、その対象として交通機関などの社会インフラに関係する組織への攻撃が行なわれても不思議ではない状況といえそうです。
2020年まで少し時間があるように感じますが、その前に政治的背景に伴うサイバー攻撃が激しくなってくるかもしれません。彼らの動向から目が離せませんね。

（補足）
窃取されたとされるデータは、次の内容です。サイバーに限らず、なりすまし等のリスクが想定されますので、被害に遭われた方は一応の警戒が必要と思われます。

ID_NUMBER,FIRST_NAME,MIDDLE_INITIALS,SURNAME,DOB1,GENDER,
CREATE_DATE,EMBOSSED_NAME,STATUS_CODE,PREFERRED_LANGUAGE
,NAMING_CONVENTION,TITLE,SALUTATION,ADDITIONAL_TEXT,
BUS_COMPANY_NAME,INSTRUCTION,STREET_FREE_TEXT,ADDRESS_2,
ADDRESS_3,CITY_NAME,STATE_PROVINCE_NAME,POSTAL_CODE,COUNTRY_CODE,
ENROLLMENT_DATE,TIER,TIER_START_DATE,TIER_ENDS_DATE,NATIONALITY,
LIFE_AMOUNT,POINTS_EXP_DATE,POINTS_EXP_AMOUNT,
POINTS_AMOUNT,TMBQPER_AMOUNT,TMBQPER_START_DATE,
TMBQPER_END_DATE,TMBQPER_SEGMENTS,COUNTRY,NATIONALITY_CODE,
PASSWORD,EMAIL_ADDRESS,

HacktoolやNetToolといったウイルスが検出されたことはありませんか？
ウイルス対策ソフトによっては、HackToolとかNetTool、xxx_Transmit（xxxはBackdoorやTrojan）のような検知名が付けられています。

これらのツールは感染機能は持たず、攻撃者がC&Cサーバなどと通信を確立するために、しばしば利用されます。
例えば、昨年のRSAの事件で悪用されましたBackdoor.Liondoor（HTran）などがそれにあたります。
ちなみに、Backdoor.Liondoor（HTran）は、2003年頃に中国紅客連盟により開発されたパケット転送ツールです。
※開発元は中国なのですが、他国の攻撃者も利用していますので、一概に中国黑客による攻撃とはいえません。
これらのツールは、プログラムが自動的に感染やバックドアを作成することはありません。攻撃者の操作によりバックドアに悪用されたりするプログラムです。
つまり、一般的な企業環境（？）においてHacktoolが発見された場合、往々にして既に攻撃者が侵入しており何らかの被害を被っている可能性が高いといえます。
この辺は古典的な話ですので、詳細は割愛しますね。

さて、このHacktoolですが悪用されていても中々見つけられない、という相談をよく受けることがあります。
一般に、これらのツールは大抵のウイルス対策ソフトで駆除できますが、駆除されずに悪用されているのはどういうことでしょうか。
マルウェア感染のインシデント対応全般的に言えることなのかもしれませんが、
まず考えられるのは、"検知できない状況"であるということが、理由のひとつとして挙げられると思います。
何故、駆除できないのかの理由は色々ありますが、よく見かけるのは次の3つです。
①ウイルス対策ソフトが停止されている
②ウイルス対策ソフトの検索対象外の領域が利用されている
③駆除すべきHacktoolが被害ホスト上に無い

①は攻撃者が管理サーバを不正操作していたり、ホスト上の設定が変更された可能性などが考えられます。
②はウイルス対策ソフトの設定やユーザの利用環境などに依存することが多いです。
#製品によってリスクウェアをスキャン対象外にしていると検知できない場合があります。
③は被害ホストとは異なるリモート・ホスト上にHacktoolが存在している場合などがあります。
#この場合、攻撃者が不正操作の起点となっている親玉のシステムが存在する可能性があります。その場合、親玉システムの発見に手間取り、被害が収束するまでに時間を要すことがあります。

いずれにせよ、攻撃者がすでに標的のシステムを乗っ取った後の操作となりますので、これらの操作がされていても不思議ではありません。

もしHacktool関連の検知ログが１つでも見つけた場合、（ネットワーク的に）周辺のホストやADのログを至急調査してみてください。
＃業務情報などが漏洩していないことを祈りつつ
攻撃の痕跡は、あっという間に削除されますので、スピード勝負となりますが、運が良ければ黑客工具を利用した痕跡が発見されるかもしれません。

気をつけて頂きたいのは、Hacktoolの発見はネットワークトラフィックとホスト上のログとの相関分析が必要となることが多いです。
そのため、基本ではありますが事前にOSなどのログに関しても確実に取得しておくことをお勧めします。特にWindowsのログオン成功のログは重要です。

何はともあれ、Hacktoolが発見された場合はLAN内の複数のシステムが乗っ取られていることを前提に、迅速にダメージコントロールを心がけた動きが重要です。
侵入台数が少ないことを祈りつつ。

中国

興味深いベトナム航空などへのサイバー攻撃報道

中国で開発されたHacktoolの検知に注意