政府に仕えるハッカー集団が世界を攻撃って、SFみたいですけども…。
北京政府のために活動していると考えられている、中国のハッカー集団が、2段階認証を回避して、他国の政府や産業を攻撃する方法を習得した、とZDNetが伝えています。
ZDNetいわく、この集団は「APT20」と呼ばれており、彼らは被害者のネットワークにより深くアクセスするため、VPNのアカウント情報侵害を試みている、とオランダのサイバーセキュリティー会社Fox ITが出した新情報を報じています。
2段階認証が突破される事例は過去にもありますが、ハッカー側にとても高度な技術が要求されるため、このような攻撃は比較的珍しかったりします。
APT20がどうやってセキュリティを突破したのか、その手口は完全には明らかになっていません。
ですがZDNetはある仮説を唱えています。
APT20はハッキングされたシステムから、RSAセキュリティ社が開発したSecurIDのソフトウェア・トークンを盗み、それをコンピューター上で使用して有効なワンタイム・コードを生成し、自由に2段階認証をバイパスしたようです。
通常であれば、これは不可能なことです。こうしたソフトウェア・トークンのどれかを使うには、コンピューターにハードウェア・デバイス(この場合はSecurID)を物理的に接続しないといけないのです。そこでデバイスとソフトウェア・トークンが、有効な2段階認証コードを生成します。もしそこでデバイスがない場合は、RSA SecureIDソフトウェアはエラーを生成するはずなのです。
Fox ITによりますと、APT20はこのバイパス技術自体を開発した可能性が高いと考えられています。彼らは、VPNアクセスなどの「正当な」チャネルを利用して攻撃を実行することで、ハッカーを捕まえようする網から逃れているのです。そして報告書ではこう書かれています。
私たちは、10カ国の政府機関、マネージド・サービス・プロバイダー、エネルギー、医療、ハイテク企業を含む世界各地の産業において、このハッカーによる犠牲者を特定しました
ハッキングの標的は、ブラジル、中国、フランス、ドイツ、イタリア、メキシコ、ポルトガル、スペイン、英国、米国など十数カ国近くになるとのことです。
研究者たちによりますと、ハッキングで最初のアクセスが成功されると、APT20は複数のサーバーにカスタム・バックドアを配置してサーバー間を移動するとのことです。そこを起点に、アクセス権を向上させるための追加アカウント情報がない場合でも、機密データの収集が始まります。また通常ハッキングが終わると、データ抜き取り用に作られたツールと圧縮ファイルを削除して痕跡を消し、その後の調査を難しくします。
IT担当大臣がアレな日本は大丈夫でしょうか? 政府の庇護にあるハッカー集団とか恐ろしいですが、ちょっと考えれば存在していてもおかしくはありません。
Fox ITによる全報告は、彼らの全41ページに渡るPDFで読むことができます。挑戦してみたい方はぜひ。
Source: ZDNet, Fox IT (1, 2)Reference: RSA, e-Words