2021年2月5日、米フロリダ州オールズマー市の浄水システムに何者かが不正侵入し、飲料水に含まれる水酸化ナトリウム(苛性ソーダ)量を100倍以上に増やす設定変更を行った事件がニュースで報道されました。ライフラインへのサイバーテロは命を脅かす事態で、アメリカでも大きく騒がれました。しかし事件の背景や原因をみていくと、決して外国の施設だけの特殊例ではないことが分かってきました。原因の一端となったパスワード使いまわしやリスト攻撃による不正侵入は実は昔から何度も起こっています。日本の企業にとっても無関係なテロの話ではありません。今回は、この事件の原因を探りながら、こうした攻撃の恐ろしさや事例、そして取るべき対策等について解説していきたいと思います。
米・水処理施設へのサイバー攻撃が発生!
今年2月5日、米フロリダ州の水道システムにハッカー侵入し、有害物質を大量に加えようとしたことが報じられました。
米フロリダ州オールズマーで5日、水道システムにハッカーが侵入し、人体に「有害な」濃度の化学物質を水に加えようとした。当局が8日に明らかにした。
ハッカーはオールズマーの水処理システムに遠隔操作で侵入し、水酸化ナトリウム濃度を一時的に高めたが、作業員が気付いて元に戻した。
地元紙タンパ・ベイ・タイムズによると、5日朝、施設のオペレーターがシステム内へ侵入しようとする動きに気付いたが、上司が行っているものだと思ったという。
しかし同日午後、ハッカーは再び侵入を試みた。この時は侵入に成功し、処理ソフトウェアにアクセスして水酸化ナトリウム濃度を通常の100ppmから100倍以上の1万1100ppmに引き上げた。オペレーターは直ちに通常値に戻した。
引用:BBCニュースJAPAN
何者かによる侵入行為が発生したのは、フロリダ州ピネラス郡 オールズマー市にある浄水施設にあるコンピューターシステム「SCADAシステム」へのハッキングです。オールズマー市の水処理施設は、その後水道システムへの遠隔アクセスプログラムを一時的に無効化し調査していますが、犯人の詳細はわかっていません。
今回の攻撃の要因
・ずさんなリモートアクセス体制
システムの不正な操作が行われたのは2回(現地時間で2021年2月5日8時頃と13時半頃)で、1度目の侵入では、職員がマウスカーソルが勝手に動いているのを目撃しましたが、不審に思わず見逃しています。これは上司が施設のシステム監視目的でリモート接続することがよくあるためだと説明しています。さらには従業員が使用するPCは全てSCADAシスに接続が可能な状態となっていました。昨今日本国内企業もコロナ禍の影響で、テレワークを導入する企業も増えましたが、ずさんなリモートアクセス体制を敷いていると、簡単にハッカーの標的となり不正侵入を許してしまう事態を招いてしまいます。
・パスワード使い回しが発覚
信じがたい事に、リモートアクセス用に使用されていたパスワードは全て同一のものが使われていたことが分かっています。ファイアウォールが有効な状態で設定されておらず、インターネットから直接接続されていた模様です。
・不正アクセスを受けたPCはWindows7
使用されていたOSはWindows 7 32bitです。サポートが1年前に終了しセキュリティ的に非常に脆弱な状態にありました。
これらを見るとオールズマー市がセキュリティに無頓着だったという見方もできますが、米国土安全保障省のサイバーセキュリティ機関CISA長官だったクリス・クレブス氏は10日に米下院の委員会で、「オールズマーは恐らく例外ではなく常態だ」と証言しています。セキュリティ対策のためのリソースや予算がなく、仕方なしに起こったこととして証言しました。そしてこれはオールズマー市だけではなく、多くの自治体がこういう状態にあるということを示唆しています。
これを企業に当てはめてみればどうでしょうか?リソース不足、予算不足を言い訳に必要なセキュリティシステムをいれることや、最新のOSを使用しないこと、ルールの制定がなされていないという事も同様にあると思います。そのまま放置すると、いつでもサイバー攻撃の対象になり、不正侵入を許すことになり得ることが分かると思います。
繰り返されてきた攻撃
市民が口にする水に対して仕掛けられたテロ行為は非常に悪意のあるものでショッキングなものです。しかもこれが初めての事例ではなく、同様の攻撃がこれまでもあったことにさらに驚くかもしれません。2016年には米情報通信大手ベライゾンが、アメリカ国内の水道施設に対する同様の攻撃について、セキュリティ報告書で詳細を明らかにしています。2020年にはイスラエルの水道施設が複数回ハッキング攻撃を受けています。そのためサイバーセキュリティの専門家たちはもう何年も前から、「不可欠な国内インフラ」と呼ばれる施設が標的にされていると警告してきた。今回フロリダでの攻撃で、その懸念がさらに高まったことになります。
パスワードを狙った攻撃手法
それではここで改めて、パスワードを狙った攻撃手法について解説していきます。
パスワードリスト型攻撃
パスワードリスト攻撃は、別名リスト型攻撃・アカウントリスト攻撃とも呼ばれ、第三者が何らかの方法によりID・パスワードをあらかじめ入手し、そのIDとパスワードを利用して別のサイトなどで不正ログインを行うものです。IDやパスワードが同じ組み合わせで複数のサイトで使用する人が多く、そのためにパスワードリスト攻撃の成功率が高くなってしまい、攻撃者に狙われてしまいやすくなります。
ブルートフォースアタック
ブルートフォースアタックとは「総当たり攻撃」によるパスワードを解読する方法の一つです。ブルートフォース(Brute-force)には「力任せ」「強引な」という意味があります。その方法は、暗号や暗証番号に対して、理論的にあり得るすべてのパターンを入力して突破を試みるというものです。仮に数字のみの4桁の暗証番号であれば、その組み合わせは1万通りであり、そのすべてを試せば必ず正しい暗証番号がわかります。昔からある単純な方法ですが、時間さえかければいつかは正解にたどり着くため、非常に強力な暗号解読法といえます。
パスワードが流出したら起こり得るリスク
- 流出したあなたのパスワードはリスト化されて、闇市場(ダークウェブ)で売買され流通している
- パスワードリストを手に入れたハッカーは、さまざまな攻撃方法でリストを元にあなたのアカウントに侵入を試みる。
- リストのパスワードが一致したらあなたのアカウントに不正侵入される。効果的な対抗策はない。
不正に入手されたユーザーの氏名、住所、生年月日、口座、暗証番号、パスワードなどをセットにしてリスト化した情報は「Fullz」(フルズ)と呼ばれて、ブラックマーケットで盛んに流通しています。
ハッカー達はパスワードリスト(Fullz)の更新は「自分のテクニックを誇示すると共に大きな収益を生む源泉なので」リストの精度は日々向上しています。流出したパスワードと同じパスワードを使っていたら、不正侵入されるのは当たり前です。
日起きている「不正ログイン」とか「不正引き落とし」の原因のほとんどはここにあります。
日本国内のパスワードリスト型攻撃の事例
・ファーストリテイリング
2019年5月13日、ファーストリテイリングと傘下のユニクロ、ジーユー(GU)はユニクロ・ジーユーの公式オンラインストアがリスト型アカウントハッキング攻撃を受け、約46万件のIDに不正ログインされたと発表しました。不正ログインを受けたユーザーの氏名や住所、電話番号などの個人情報が第三者に閲覧された可能性があり、対象のIDのパスワードを同日中に無効化し、ユーザーにパスワード変更を依頼していました。
不正ログインを受けたことを確認したアカウントは46万1091件になります。氏名や住所、電話番号、メールアドレス、性別、生年月日、購入履歴、クレジットカード番号の一部(上4ケタと下4ケタ)とカード名義人、有効期限などに加え、自身や家族の身体のヌードサイズを登録できる「マイサイズ」に登録した氏名・サイズが第三者に閲覧された可能性があると発表されました。ただし、クレジットカードのセキュリティコードは保存していないため、漏えいの可能性はなかったとのことです。
・セシールオンラインショップ
2020年11月6日、株式会社ディノス・セシール同社通販サイト「セシールオンラインショップ」にて、パスワードリスト型攻撃による不正アクセスで顧客情報が閲覧された可能性が判明したと発表しました。
これは11月4日に、同社が運営する「セシールオンラインショップ」に対し、国内のIPアドレスから外部で不正に取得されたと推測されるID(メールアドレス)とパスワードを使用して33回にわたって「なりすまし」による不正アクセスが行われ、そのうち1件が不正ログインされ顧客情報が第三者に閲覧された可能性が判明したというものです。閲覧された可能性があるのは、顧客番号、氏名、生年月日、性別、メールアドレス、保有ポイント、会員ランクを含む1名分の顧客情報となっています。
パスワードリスト型攻撃の対策
これらの事例の様に、近年でも大手通販サイトでパスワードリスト型攻撃が確認されています。このような悪質な手口の被害に遭わないための対策は主に3つあります。
1.パスワードを使い回させない
パスワードリスト型攻撃はパスワードを使い回していることによって起こる攻撃です。そのため、パスワードを使い回さないことが最大の防御となりますが、これは企業側から顧客へ周知し、使いまわさないように依頼していく必要があります。
2.二段階認証を利用する
二段階認証とは、IDとパスワードによるユーザー認証を行った後に、二段階目の認証として秘密の質問やSMS宛てに送られてくる認証コードなどを入力します。これにより、IDとパスワードだけの認証に比べてセキュリティを大幅に強化できるという特徴があります。最近ではSNSやゲームなどでも二段階認証を標準装備しているケースが増えています。
3.WAFの導入
ユーザーにパスワードの使いまわしをお願いしても、それはユーザー側に対策を委ねるだけであり確実に実行されるかは不透明です。そのため、企業としてはこうした攻撃を回避するにはWebサイト側での対策を行う必要が生じます。WAFを導入することで、同一IPからの不審なログインの試みを遮断すること等が可能になります。
さいごに
不正アクセスによる情報漏えい事故により、原因調査費用やビジネスの停止など多くのビジネスロスが発生します。個人情報が流出し、適切な対応を講じなかった場合は、最大1億円の罰金が発生し、加えて、発生時の報告義務における調査費用や、個人への賠償金といった企業の負担が増大することが予想されます。NPO日本ネットワークセキュリティ協会の発表した「2018年 情報セキュリティインシデントに関する調査報告書」によりと一件当たり平均想定損害賠償額は6億3,767万円にも及びました。この少なくない金額に加え、信用を失うことを考慮すると、日頃からWAFを含めた適切なセキュリティ対策がいかに重要かお分かりいただけるかと思います。
アジア・太平洋マーケットシェア1位のWAF 「WAPPLES」
