【投稿者コメント】
【キーワード】
[不正侵入は発見が困難]、[WiFi脆弱性撲滅を]、[踏台攻撃で甚大な被害]
【件名】
「なぜ警視庁が個人宅のWiFiの乗っ取りを警告するのか?/多くの乗っ取られたWiFiが国内の重要インフラ制御用サーバの攻撃に使われるからだ!/あなたのWiFiが原発や電力網や防空レーダ網や防衛指令網・警察消防指令網や水道・ガスや光ケーブル・携帯基地局網や航空管制・鉄道運行制御・高速道管制網を攻撃するのに使われて、重要インフラが大事故を起こしたり、破壊されたりしたら!」
【投稿本文】
下記の【以下転載1】では、最近、警視庁がサイバ攻撃事案の捜査過程で、家庭用のWi-Fiルータが、サイバ攻撃に悪用されていたと注意を喚起している。
家庭用のWiFiルータの乗っ取りを防ぐ為の具体的な方法を示しているので、早速、実行したい。
下記の【以下転載2】では、家庭用のWi-Fiルータや中小企業のネットワーク機器がなぜ狙(ねら)われて、どの様に悪用されるのかを報告している。
家庭用のWiFiルータや中小企業のネットワーク機器を乗っ取って、国内の重要インフラを海外から攻撃する為の「踏み台攻撃」の具体例を示している。
◇
あなたは、御自分のPCやスマホやタブレットと同じ様に、WiFiの乗っ取りも十分に警戒されているだろうか?
一旦、家庭用のWiFiルータが乗っ取られると、なかなか気付づかれないから、或日、突然、捜査員が自宅に押し掛けて来て、家宅捜索を受けて、WiFiや家族全員分のPCやスマホやタブレットを押収されて、家族全員が厳しい捜査尋問を受けたりしない様に、直ちに、WiFiを点検される様にお勧めしたい!
<<大所高所の見地から、際限無い防衛費に歯止めを掛けるべく、せめて、踏み台攻撃の標的にならぬ様に、宅内WiFiの脆弱対策は怠り無く、万全を期そうではないか!>>
◇
【以下転載2】では、攻撃や不正侵入がバレない様に、次の様な隠蔽対策を取っていた。
攻撃を防御するには、点検事項を明確にした上でないと発見は困難だから、注意が必要だ。
①侵害活動に用いるツールを攻撃対象のシステム環境より調達する「Living off the Land(LotL)攻撃」が特徴。
②元々導入されている正規ツールを悪用するので、第三者が持ち込んだアプリの稼働を監視する「EDR」などの検知を回避する。デフォルト設定のもとで取得されるログで、捕捉されうる活動量を抑えて不正活動を隠蔽する。
③具体的には、通信・機器管理用のコマンドなどを悪用して、正常な動作に見せかけて検出を回避しつつ潜伏活動する。
④こうした不正活動は、デフォルト設定のままだとログに記録されないので、コマンドラインによるプロセスの作成や「WMI」や「PowerShell」によるイベントをログに記録する様に構成を見直す必要がある、
⑤攻撃者は、ログを消去して活動を隠蔽する。ログの整合性や可用性を確保するには、ログ消去時のイベントをログとして記録して監視したり、サーバへログを転送すると対策が必要だ。
⑥攻撃者の用いたコマンドは、正規の業務で使用される可能性があるので、アドバイザリの内容をもとに疑わしい活動を検知した場合でも、攻撃であるか判断するには追加調査を行い、注意深く対応しないといけない。
⑦Zohoの「ManageEngine ADSelfService Plus」に於ける様々な脆弱性の他に、攻撃では多くの脆弱性が悪用されるので、脆弱性対策も欠かせない。
⑧攻撃事例では、通信先の地域を偽装するのに、標的の組織と近い地域にある小中規模オフィスのネットワーク機器が攻撃の踏み台となっていた。
⑨脆弱性が未修正だったり、中小企業向けのネットワーク機器が標的になる場合が多い。
⑩ネットワーク管理インターフェイスがインターネットなどに公開されていたり、踏み台などに悪用されていないかを確認点検する必要がある。
【追 記】(2023年6月8日)
じゃ、踏み台攻撃で、どの様なインフラ制御用のサーバを、どの様にして攻撃をするのかは、書けないと云うより、書いたら、攻撃を助長・手助けする事になるから、記載は禁物だ!
詳細は不詳だが、どの様なプロセス、手法、手順なら可能なのか、おおよそは推測・予測出来てしまうのだが・・・
報道機関が警視庁へ取材しても、捜査秘密として拒否されてしまう!
実態は、捜査秘密と云うより、国家機密だからだ!
攻撃側に、防御側の把握・点検・捜査情報を知られると、その上前(うわまえ)を撥(は)ねられて、裏をかかれて、対策されて、せっかく、防御側が備えた、用意した防御対策が無効化されてしまうからだ!
◇
原発の事例が判り易い!
核施設へのサイバーテロの事例として、イランのウラン濃縮工場へのサイバーテロ事件は有名だ。
このテロ事件では、ウラン濃縮工場の高速遠心分離機の制御用ソフトが乗っ取られて、制限回転数を超えて、破壊されてしまった。
もし、国内の全原発の冷却システムへ不正侵入して、
原発炉心の冷却を停止させれば、
福島人災と同様に、
炉心融解のメルトダウン大事故!
→
炉心の水素爆発で高レベル放射能が全国へ飛散!
→
日本列島が数百発の核ミサイル攻撃以上に、広域・高レベルに放射能汚染される!
→
日本列島は、数千万年間は、立ち入り不可/居住不可となる!
原発には、核ミサイルに搭載されたプルトニウムの数百倍の核燃料が格納されているから、これが全国へ飛散したらどうなるかは容易に推測出来る。
攻撃側にとって、核ミサイルの反撃を受けるリスクも無く、ボタンひとつで攻撃出来るから、安全確実で、安上がりな攻撃だから、自国の核施設(実験用原発等)や通信網を使って、徹底的な検証・テスト・評価を行った上で、攻撃して来るから、摘発・防御は相当な困難を伴う。
対策には、各分野の相当なスキルを備えた人員に依る機動組織・機密組織・対策プロジェクト組織が必要だ。(核物理学、原子炉工学、機械工学、電気電子工学、制御通信工学、情報工学、化学工学、AI科学、材料科学、金属治金科学、地球科学、気象科学、防衛警察、法学、医学、薬学、心理学等)
攻撃側が総力戦で来るのなら、防御側も総力戦で臨まないと太刀打ちは無理だ!
<<せめて、際限無い防衛費に歯止めを掛けるべく、せめて、踏み台攻撃の標的にならぬ様に、宅内WiFiの脆弱対策は怠り無く、万全を期そうではないか!>>
【追 記 2】(2023年6月8日)
本投稿の表題とは、若干、逸(そ)れるのかも知れないが・・・
これでも『原発は永久に安全です!』と御託宣を垂れた、神様みたいな裁判官様が某国には、いらっしゃると云う・・・
もっとも、冤罪事件を引き起こして、無辜(むこ)の国民を殺しても、一切、結果責任を負わない、追求されない神様の御託宣が、はたして、信用出来るのか?
ゆえに『強要された、忖度させられた、見るも汚らわしい、判決文書なんぞは廃棄してしまえ!』となさるのか?・・・
普通は、神様でも無い限り、中学生へ『日本は、最高裁判所長官を内閣総理大臣が任命する、完全な三権分立の民主主義国家です!』と教えられませんものね?・・・
普通『こんなに危険で、国民と国土を壊滅させる様な、"悪の権化"みたいなものは、即座に廃棄せよ!』と云う御託宣が相応(ふさ)しいと思って当然なのだが・・・
応(あ)に図(はか)らず、危険を顧みずに『安全だから保持すべし!』とまで、御託宣なさる意図・目的・目論見(もくろみ)・理由・動機は一体、何なのか?
それは、原発でウランを消費させて、核兵器の原料のプルトニウムを生産したいからに他ならない!
なぜ、プルトニウムが必要なのか?
それは、先ッポに積んで飛ばすものがあるか、又は、友好国(=占領国)から提供を強要されているからだ!
某国が、先ッポに積んで飛ばすものがあるか、否かは、核実験の査察が不可能な月の裏側の写真が撮れる「か○や月周回衛星」や月面での様々な遠隔操作が可能な「は○ぶ○」やロケット打ち上げや国際宇宙ステーション(ISS)や「き○う日本実験棟」や人工衛星や臨界前核爆発シミュレーション(*-1)が可能なスーパーコンピュータ「ふ○く」などの実績から判断するしかないが・・・
(*-1)
「臨界前核爆発シミュレーション」とは?
「臨界前核実験」、或いは、「未臨界核実験」は、核物質を臨界状態に至らない条件に設定して行う核実験。核兵器の新たな開発や性能維持の為に行われる。アメリカ合衆国やロシアやパキスタンなど、過去の核実験のデータを蓄積した核保有国において行われている。
核物質の高性能爆薬に依る爆破・圧縮や大出力レーザの照射に依って行われ、主に物性変化を観察する事が目的である。実験結果は、コンピュータ・シミュレーションの基礎データなどに利用される。核物質が臨界に達する前の段階で実験は終了するので、通常の核実験で起こる様な、閃光・熱・爆風を伴う核爆発は発生せず、環境に対する汚染もない。
包括的核実験禁止条約(CTBT)は、第一条に於いて核爆発の実施を禁止対象としているが、臨界前核実験は核爆発を伴うものでないので、CTBTの禁止対象とはなっていない。
要するに、3次元モデルの数値シミュレーションの初期条件と境界条件の物理定数(温度、圧力、時間など)を数回の実験で得られれば、後は、数値計算だけで実際の核兵器は開発・設計出来てしまう。
◇
何でも、1999年9月30日に「東海村JCO臨界事故」が起こりましたわなあ?
不思議な事に、その後、臭いものに蓋をしたみたいに、マスゴミは一切報道致しませんなあ?
なんか、真相がバレたら、とんでもない事になる様な、"よっぽど、危ない事"をやっていて、つい、手先が滑って、予想外に"先に行った"んでしょうなあ?
【以下転載1】
送信日時:2023/06/03 (土) 15:53
送信元:ソースネクスト <info@sourcenext.info>
件名:「ご自宅のWi-Fiルーターを犯罪に悪用されないために」
警視庁がサイバー攻撃事案の捜査過程で、家庭用のWi-Fiルーターが、
サイバー攻撃に悪用されていると判り注意を喚起しています。
一部、報道もされています。概略は次の通りです。
ある日、自宅に捜査員が?!
Wi-FiルーターにPCやOSほどの関心を寄せる人は少なく、
悪用されていても気づきにくいうえ、外からはそのルーターが
不正をしている事実しかわかりません。そのため、サイバー犯罪に
悪用された場合、犯人と疑われ、捜査員が訪問した事例もあります。
手口
外部からルーターを不正に操作して、設定を変更し
犯罪者の存在を見えなくしたうえで、そのルーターを経由して、
犯罪行為を実行します。設定を変更されてしまうと、
従来の対策だけでは不正な状態を解消できず、
永続的に悪用される状態になってしまうので、注意が必要です。
対策
まず重要なのは、ルーターの管理画面の確認です。
次のような設定が有効化されていないか調べましょう。
有効になっている場合、支障がなければ無効にします。
・VPN機能設定
・DDNS機能設定
・インターネットからルーターの管理画面への接続設定
お使いのルーターにVPN機能がない場合は、心配は無用です。
しかし、VPN機能があり、見覚えのないVPNアカウントが
追加されている場合は、すでに悪用されているおそれがあります。
ルーターを初期化し、ファームウェアを最新に更新した上で、
ルーターのパスワードを複雑なものに変更する必要があります。
ルーターのセキュリティ
通信がつながらない時以外は、意識しないことの多いルーター。
これを機にOSやアプリケーションソフトと同様にルーターの
セキュリティ対策にも気を配るようにしましょう。ポイントは次の通りです。
・サポートが終了している機器は買い替える
サポートの終了したOSを新OSに変えたり、OSの要件を
満たさなくなったPCを買い替えたりするのと同様に
ルーターもサポートされている機器を使います。
・ファームウェアを最新版にする
ルーターを動かしているファームウェアも脆弱性が見つかると
修正プログラムが配布されるので、常に最新版に更新します。
自動更新が可能な機種は、自動更新にしましょう。
・パスワードは安全性の高いものに変更する
Wi-Fiルーターに関わるパスワードには次の2つがあります。
いずれも元のパスワードのまま使わず、
英大文字小文字、数字、記号を組み合わせた10桁以上の
ものに変更しましょう。
ルーターに関わるパスワード
・ルーターの管理画面へのアクセス用
購入時に設定されている初期管理用パスワード。
ネット上で公開されていることもあるので必ず変更を。
・ネットワーク接続へのアクセス用
ネットワークを選ぶ際に認証するもの。
・暗号方式は「WPA3」に
Wi-Fiルーターと端末で送受信するデータは暗号化しないと
傍受される危険があります。機種により複数から選択できる
ものもあります。その際には、現在最も安全とされる「WPA3」を
選びましょう。
キ・ケ・ンの取説
さまざまな手口情報をわかりやすく紹介しています。
https://www.sourcenext.com/product/security/blog/
【以下転載2】
https://www.security-next.com/146577
「重要インフラ狙う中国関与の「Volt Typhoon」攻撃ー中小企業も攻撃の踏み台に」
米政府などは、中国政府が支援しているとされ、重要インフラ事業者などを標的とする攻撃キャンペーン「Volt Typhoon」について注意を呼びかけた。中小企業において管理が行き届いていない脆弱な機器なども攻撃に悪用されているという。
米サイバーセキュリティインフラストラクチャセキュリティ庁(CISA)や米国家安全保障局(NSA)、米連邦捜査局(FBI)のほか、イギリス、オーストラリア、カナダ、ニュージーランドのセキュリティ当局が共同でセキュリティアドバイザリをリリースしたもの。
同グループの活動に関しては、米国内の重要インフラ事業者が標的となったことが判明している。同様の攻撃をグローバルに展開するおそれもあるとして、攻撃手法や「IoC(Indicators of Compromise)」情報、活動を検出するために活用できる定義ファイルなどを公開して注意を呼びかけた。
「Volt Typhoon」は、侵害活動に用いるツールを攻撃対象のシステム環境より調達する「Living off the Land(LotL)攻撃」が特徴。「LotL攻撃」そのものは目新しいものではなく、「現地調達型攻撃」「自給自足型攻撃」「環境寄生型攻撃」などとも呼ばれている。
もともと導入されている正規ツールを悪用するため、第三者が持ち込んだアプリケーションの稼働を監視する「EDR」などの検知を回避。デフォルト設定のもと取得されるログで捕捉されうる活動量を抑えることで、活動を隠蔽していた。
具体的には「wmic」「ntdsutil」「netsh」「PowerShell」などを悪用。正常な動作に見せかけて検出を回避しつつ潜伏して活動していた。
こうした活動は、デフォルト設定のままだとログに記録されないおそれがあり、コマンドラインによるプロセスの作成や「WMI」「PowerShell」によるイベントをログに記録するよう構成を見直す必要がある。
くわえて攻撃者は、ログを消去することで活動を隠蔽していた。ログの整合性や可用性を確保するには、ログ消去時のイベントをログとして記録して監視したり、サーバにログを転送するといった対策を推奨事項に挙げている。
厄介なことに攻撃者の用いたコマンドは、正規の業務で使用される可能性がある。アドバイザリの内容をもとに疑わしい活動を検知した場合も、攻撃であるか判断するには追加調査を行い、注意深く対応する必要がある。
またZohoの「ManageEngine ADSelfService Plus」における脆弱性「CVE-2021-40539」やFatPipe Networksの「FatPipe WARP」「同IPVPN}「同MPVPN」の脆弱性「CVE-2021-27860」のほか、攻撃ではさまざまな脆弱性が悪用されていた。
さらに今回確認された攻撃では、通信先の地域を偽装するため、標的となった組織と近い地域にある小中規模オフィスのネットワークデバイスが攻撃の踏み台となっていた。
脆弱性が未修正であったり、侵害されたFortinetやCisco Systems、NETGEAR、Draytek、Zyxel、FatPipe NetworksなどのSOHO向けデバイスが標的になっているという。
中小規模事業者に対して、ネットワーク管理インターフェイスがインターネットなどに公開されていたり、踏み台などに悪用されていないか確認するよう呼びかけた。
また米政府では、中国の関与が疑われる攻撃者により悪用が確認されている脆弱性について、これまでも注意喚起を行なってきたが、あらためて影響を緩和するよう対策を求めている。
(Security NEXT - 2023/06/01 )
