(ISC)² Security Congress 2013レポート第二弾。
SCADA Protection: Imminent Phishing Attacks and The U.S. Cyber Strategy
Rohyt Belani
PhishMe Inc.
産業制御(SCADA: Supervisory Control And Data Acquisition)システムは、近年Phishing攻撃の対象となっている。攻撃者はメールマーケティングと同じ手法を用いて対象者を絞り込み、攻撃をしかけてくる。FBIによれば、攻撃を受けた被害者の80%はFBIなどの捜査が開始されるまで攻撃を受けたことに気づいていなかった。従業員が1ダース (12人)に満たないようなNPOであっても、SCADAシステムに関連する組織であればターゲットになることがある。
インターネットに接続されているICS(Industrial Control System)の40%は簡単にHackできるという報告もある。また、エネルギー関連企業の25%は脅迫を伴う攻撃を受けた経験がある。攻撃者が重要なPCまたはサーバのデータを暗号化してしまい、「データを復号してほしければ金をよこせ」という要求をしてくる。被害者は不幸なことにデータのバックアップをちゃんとしていなかったため、金を払うしかなかった。しかし、金を払っても一部しかデータを返してくれず、その後もずっと金を要求され続けた。結果として一年ぐらい継続して金を要求された事件があった。
PhishingのメールはURL短縮サービス(bit.lyなど)を使うなどして、怪しいURLかどうかの判断を困難にしているケースもある。送られてきたURLには、個人毎に異なるアドレスが割り当てられていて、受信者がクリックすると、どのメールアドレスでクリックしたかがわかるようになっている。その人は次の段階の攻撃を受けることになる。
ある会社のWindowsドメインコントローラーで「624」のセキュリティイベントがでた。このIDのイベントはあまり見ないものなので、調査を開始した。調査を進めていくと、管理者アカウントが使用された形跡を発見した。ログインして調査を行いたかったので、パスワードを教えるようにシステム管理者に依頼したが、拒否されてしまった。そこで、クラッキングツールを使うことにした。結果として、ツールを走らせて7分で管理者のパスワードを見つけることができた。さらに調査を進めると、あるワークステーションからのログインログを見つけることができた。DNSサーバが動いていたのでそのログを見てみると、1週間前、不審なDNSメッセージをそのワークステーションから受けていた。これに気づいたのは調査開始から3日目であった。サーバの管理サーバにはちゃんとパッチもあたっていた。脆弱性チェックもしていた。これはまだパッチが提供されていない脆弱性(いわゆるZeroーDayアタック)であった。
そのワークステーションにおいて、マルウェアはSmart Card Managerサービス(ICカードのサービス)に偽装していた。感染の原因は、受信したメールのアタッチメントを開き、あるWebの/images/signup.exeファイルにアクセスしたことで、そのメールのアタッチメントはHealthcare_Update.chm(Compiled HTMファイル)であった。
メールは7日前に届いていた。その組織のHR departmentを称してある従業員に対して送られたもので、メール本文には「3人以上の子供がいる人に、もっと有利なHealthcareプランを提供するので、フォームを記入して送信するように」と記されていた。
その従業員には子供が4人いた。
攻撃者は、そのワークステーションがSCADAシステムのあるクリティカルなセグメントにつながっていて、利用者に4人子供がいることを知っていた。そのメールは他の従業員には送られてきていなかった。
このときに使われたマルウェアは、起動されてから3秒以上経過して、その後にユーザがクリックすると感染させるような仕様になっていた。これは、ファイルがマルウェアかどうかを調べるsandbox技術(FireEyeなどが使っているもの)をバイパスするための仕組みであった。
幸いにもこのケースでは、SCADAシステムに対する被害を未然に防ぐことができた。しかし、攻撃者が、なぜその従業員がSCADAシステムにつながっているクリティカルなセグメントにいるのを知っていたのかはわからなかった。
攻撃者は、メールマーケティングと同じ方法を使う。いきなり特定の人間を攻撃するのではなく、最初はメールを広く送りつけ、引っかかる人を対象にして、さらに深い攻撃をしかける。攻撃対象が絞り込めてきた段階で、ターゲットの情報をGoogleやSNS等を使って調べる。写真をインターネットに掲載すれば、そこにGPSの情報が入るかもしれない。そういった情報を使って、いかにも相手が開きそうなメールを送りつける。
最近では、金曜の夕方にURL付きのメールを送付する攻撃が多い。おそらく攻撃者はメールを送付したあと一杯やっているに違いない。その段階ではメールに書かれているURLが示すWebサイトは無害なものであり、企業に設置されているセキュリティソリューションはメールをチェックしたあと、そのメールに「調査結果:問題なし」というフラグをつけてユーザのメールボックスに配信する。攻撃者は、日曜の夜にURLが示すWebサイトにマルウェアを仕込む。ユーザは月曜の朝にきてメールを開き、感染するというシナリオである。メールに「調査結果:問題なし」と書いてあるので、攻撃者にとっては都合がよい。セキュリティソリューションを導入したが故に感染しやすくなる、という皮肉な状況が発生している。
小熊
Comments