<他人事ではない!?>分業制で組織化された「クラッカー集団」から会社を守る

2019/03/16

SF映画やサスペンス映画では、「うらぶれた場所に住んでいる凄腕クラッカー(ハッカー)」の登場人物が、「1人でパソコンを操作して、国や大企業のネットワークに侵入し、主人公を助ける」という場面がよく出てきます。しかし、このような描写は現在のクラッキング行為の実態を反映していません。

実際のところは、分業制で組織化されたクラッカー集団が「自動化されたプログラムを使って、常時、地道にコツコツと」クラッキング行為を行っているのです。

 

2016年のバングラデシュ中央銀行ハッキング事件

bangl700a.jpg

2016年2月、バングラディシュの中央銀行が、クラッカーによる侵入を許した結果、9億5100万ドルが国際送金ネットワークであるSWIFTを通じて違法に送金されていたことが判明しました。各国中央銀行との連携により、クラッカーが現金を引き出す前に事前にブロックできた取引もありましたが、5件の送金取引ならび引き出しが成功し、大きな被害を生んでいます。

では、なぜバングラデシュ中央銀行が選ばれたのでしょうか。

それは、クラッカー集団が2015年に多発した国際送金システム「SWIFT」の脆弱性をすでに発見してあったこと、ならび2013年にバングラデシュの銀行(中央銀行)がハッキングされていたことが理由となります。「SWIFTの脆弱性を狙って、ただでさえセキュリティが脆弱なバングラデシュの金融機関を狙えば間違いない」と考えられたのだと推察されます。

別な言い方をすると、「3年間という時間をかけ、いくつもの脆弱性があることを確認して組織的に検討し、地道にチャンスを狙っていた」のです。なお、この事件を起こしたクラッカーは、過去の犯行手法から考えるに、北朝鮮政府により支援されたクラッカー集団だと見られています。

さて、このバングラデシュ中央銀行の事件を見ても、脆弱性の発見から、実際に違法に資金を得るまでには実に多くの役割があります。

・脆弱性の発見・暗号解読するためのプログラム開発
・多数のコンピュータやクラウド上のリソースを使って、プログラムを実行
・発見した脆弱性を利用してデバイスに侵入、情報の調査、情報の持ち去り
・デバイス内の情報を利用しての送金
・送金の受け取り
・マネーロンダリング手法の開発、など

冒頭にあげたように、これらを一人で全て行うことはできません。よって、多くの人員が携わる組織的な犯行となります。よって、現在多発しているクラッキング事件は、まさにこうした組織により引き起こされています。ちなみに、クラッカーはみな同じ場所にいる必要はないので、「分散化されたクラッカー組織」と言えるでしょう。

無料で使える「トラスト・ログイン(旧 SKUID)」の資料請求はこちら

 

常に脆弱性を探しているクラッカー組織

lens700.jpg

クラッカー集団はあらゆる組織、あらゆるデバイスへの侵入の試みを常に行っています。コンピューターが高性能で安価になり、またクラウド上の膨大なコンピュータリソースを使えるようになったことで、攻撃するクラッカー側の攻撃力が増したのです。

クラッキングには大きく分けて2つの手法があります。

1つは「ランサムウェア」のように、OSなどののセキュリティの脆弱性を突いて、「広く浅くお金を集める」ものです。2017年5月に大きな被害を出したランサムウェア「WannaCry」は、300アメリカドル相当のビットコインの送金を要求しています。日本円で3万4000円ほどなので、「払えないほど高額」ではないところがポイントです。

そしてもう1つは、バングラデシュ中央銀行事件のような「特定組織のセキュリティ脆弱性を突いて、多額のお金を盗むまたは「特定組織の機密性の高い情報を盗む」ものです。これは、脆弱性を見つけてすぐに犯行を起こすわけではありません。十分な準備期間を設けて、組織の情報を調べた後で、クラッカーにとって一番儲かりそうなタイミングで犯行に及びます。この間、組織がクラッカーにより侵入されていることに気づかない場合も多くあります。

後者の場合、真っ先に狙われるのは多額のお金を扱う金融機関、そして政府機関(特に軍隊組織)、電気ガス水道などのインフラ企業、そして規模が大きいその国を代表する企業や特に技術力が高い企業などです。

侵入のための攻撃の手法として「ID・パスワードの総当たり」「暗号化されたパスワードの解読」「地下で売買されているID・パスワードリストを利用した攻撃」も含まれています。そして攻撃が成功すると、端末内にある「お金になる情報」を見つけ出します。攻撃されたのが個人のデバイスであれば、保存されている情報を利用してお金を引き出す、クレジットカードで違法な決済をするなどの方法で資金を入手しています。

侵入・攻撃されたのが法人だった場合は深刻です。個人よりも扱う金額が圧倒的に多いこと、そしてお金以外にも多くの社外秘情報があるためです。単に会社の資金を盗むこともできますし、社外秘情報をたてに脅して送金させることもできます。また、社外秘情報を地下で売却することもできます。

 

うちの会社は大丈夫?いいえ、そう言い切れません

virus700.jpg

もしあなたが「うちの会社は官公庁でもインフラ企業でもない、よくある普通の企業。だから攻撃なんてされるはずがない」と思っていたら、それは間違いです。ロシアのITセキュリティ企業である「カスペルスキーラボ」が公開するCybermapでは、日本は世界で11番目にクラッキングが多い国だとされています。日本のすべての個人、企業はクラッキング集団に狙われていると考えて過言ではありません。

クラッカー集団は、組織的に、そしてほぼ自動化されたシステムを利用してターゲットを探しています。そしてターゲットが見つかったら、自動化されたプログラムが「とりあえずクラッキング」します。あなたの会社が有名かどうか、大きいか小さいかは別に「とりあえずクラッキング」されるのです。そしてクラッキングが成功して、デバイスに侵入した後でクラッカーは「『この会社から、どうお金を引き出すのが一番儲かるか』を考える」のです。

 

パスワード・クラッキングから組織を守る方法

lock700.jpg

高性能なコンピュータやクラウドから、プログラムを使って自動化された攻撃の頻度や強度は強くなる一方です。例えば、アメリカ政府は毎日数千件のネットワーク経由の攻撃を受け、日々撃退していますが、この攻撃件数は上昇を続けています。もちろん日本の政府機関、企業、大学なども例外ではありません。

幅広く利用されている認証方法である、パスワード認証を突く「パスワード・クラッキング」もその一つです。パスワード・クラッキングが怖いところは、パスワード・クラッキングでデバイスへのパスワードが破られた場合に、デバイス内にある他のID・パスワードも盗まれるということです。よって、重要なのは「全てのパスワードが強固でかつ管理されていること」です。

自社で管理できるID・パスワードもあれば、そうでないものもありますが、ID管理ツールを利用することで、どちらも一元的に管理できます。

強固に一元管理することで、クラッキングにより侵入されるリスクを大幅に低減することが可能です。

 

img_function_01.png

 

トラスト・ログイン(旧 SKUID)は、1アカウントから無料で利用することができる、クラウド型の企業向けシングルサインオンサービスとなります。まず組織のITセキュリティ責任者が試してみて、その後全社に拡大することも可能です。組織で多く利用されている外部サービスをカバーしているため、ID・パスワードの一元管理によるセキュリティ向上と、ユーザーの利便性向上を両方追求することができます。ぜひ新規登録してお試しください。

無料で使える「トラスト・ログイン(旧 SKUID)」の資料請求はこちら