【投稿者コメント】
【キーワード】
[貴重品はクロークへ]、[無料WiFiはVPN]、[自宅のWiFiも標的]
【件名】
「海外旅行者や国内外出張者は御注意を! ホテルの電子キーに重大な欠陥が露見!/世界131カ国のホテル、300万カ所のドアから侵入される恐れが!/日本の高級ホテル宿泊者を狙った攻撃が多数!/フリーWi-Fiの使用者を狙う攻撃が多数! ホテルや喫茶店やイベント会場や会議・セミナーや空港シャトルバスや客船ターミナル内での攻撃を確認!/自宅のWiFiも標的だ!」
【投稿本文】
以下は、海外旅行や国内外出張等の宿泊で、国内外のシティホテルやビジネスホテルを利用される方や、ホテルや喫茶店やイベント会場や会議・セミナーや空港シャトルバスや客船ターミナル内で無料WiFiを利用される方への警告・報告だ!
◇
被害に遭わぬ為のポイントは次の通り。
【1】ホテルでの窃盗被害対策は、信用の置けるホテルに泊まり、貴重品はホテルのクロークやホテル内の銀行の貸金庫等に預けるしかない
【2】ホテルでのマルウェア感染を防ぐには、そもそも無料WiFiは使用しないに限るが、現地での情報収拾の目的等で使う場合は、最低限、VPNアプリ経由で使用するようにして、旅行前に、信頼の置けるウィルス対策ソフトの導入とソフトやアプリの最新版への更新を行っておきたい!
自分は政府高官でも企業経営者でもないから狙われないと安心してはいけない!機密情報狙いではなく、カード情報等の金銭窃盗狙いの攻撃かも知れないからだ!
【3】こうした無料WiFiを利用する最低限の条件は、VPNアプリ経由での利用だが、家庭に置いたWiFiもこうした脆弱性を塞ぐ措置が必須であり、
(1)Wi-Fiルータの管理画面用のログイン・パスワードを購入当初の初期設定のままから、推測されない安全なものへ変更する
(2)Wi-Fiアクセスポイントに接続するためのパスワード(SSIDのパスワード)を購入当初の初期設定のままから、推測されない安全なものへ変更する
(3)セキュリティ方式は「WPA2」、又は、「WPA3」を使う
(4)ファームウェアを常に最新の状態にする
の措置は必須だ!
もし、これらの措置を怠り、自宅のWiFiが企業や役所や警察や自衛隊や駐留米軍等の踏み台攻撃に悪用された場合は、約数週間は、自宅が強制捜査の対象になり、全てのスマホやPC等のIT機器が押収されて、家族全員が事情聴取されて大変な事になるのは請け合いだ!
<< 自転車事故を起こして「道交法は知らない!」は通用しないのと同様に、自宅のWiFiが悪用されて「知らなかった!」は通用しない! >>
最近は、Wi-Fiルータや通信回線の性能が向上して、より広帯域(高速・大容量)の通信が出来るようになると、より大規模な攻撃も出来てしまうので、ますます攻撃の機会は増え続ける!
→
・「気付かぬ間に家庭のWi-Fiルーターを狙う「ボットネット」の対策を広めたい! 総務省がセキュリティ冊子を更新」
https://internet.watch.impress.co.jp/docs/news/1579670.html
◇
下記の【以下転載1】~【以下転載3】に依れば、以下の通り報告している。
①RFIDカードを用いた電子キーに脆弱性が見つかり、世界131カ国のホテル、300万カ所のドアから侵入される恐れがある
②鍵メーカに依れば、今年3月までに対策を施したのは、影響を受けるロックの36%に留まっており、残りは未対処のままとの事
③ホテルの電子キーはメーカ名やモデル名が判別出来ず、又、判別出来たとしても対策済みか否かは分からないので、ホテル等に宿泊する際は留意しておいた方が良い
④アジアの高級ホテル宿泊者を狙った「ダークホテル」攻撃が多数!、日本での被害が最多!
⑤その手口は、アジアの高級ホテルのネットワークを標的として、宿泊者のPCにマルウェアを感染させる攻撃で、長年行われていた事が確認された
⑥アジアの高級ホテルに宿泊する企業幹部や政府関係者等が狙われた
⑦宿泊者がホテルの無線LAN等に接続すると、GoogleツールバーやFlash等のソフトウェアのアップデートを行うよう促し、この際に正規のインストーラーを装ったバックドア入りのマルウェアをダウンロードさせると云う手口が用いられた
⑧これらのフィッシング攻撃では、Internet ExplorerやAdobe製品のゼロデイ脆弱性が利用された
⑨別の手口として、Torrentサイトを通じて配布される日本のマンガ等のアーカイブファイル中で、暗号化されたファイルの復号用と称した悪性ソフトに依り、マルウェアに感染させると云う手口が確認された
⑩攻撃者は検知を防ぐ手段を複数講じており、例えば、マルウェアは感染してから180日後にC&Cサーバに接続すると云う、長い"潜伏期間"が設けられていた
⑪感染PCが最も多いのが日本で、日本、台湾、中国、ロシア、韓国の上位5カ国の感染の割合が9割以上を占める
⑫無料Wi-Fiの管理ID/パスワードが初期設定のままだから危険だ。攻撃者が施設に直接出向いてマルウェアを仕掛ける場合も多い
⑬特に、ホテルや喫茶店やイベント会場や会議・セミナーや空港シャトルバスや客船ターミナル内の無料Wi-Fiが狙われる!
⑭Wi-Fiルータの管理画面も公開状態で、ID/パスワードもデフォルトな「脆弱なモバイルWi-Fiルータ」も狙われる!
⑮手口は、DNS設定の改ざんで偽サイト等へ誘導したり、通信内容を盗み見る等だ
⑯Wi-Fiルータの管理画面がインターネット上に公開されると、SSID、パスワード、ローカルIPアドレス、接続タイプ情報、DNS情報の取得を目的に自動化された攻撃に晒(さら)されて、Wi-Fiルータの設置地域をSSIDから特定出来るウェブサイトを悪用して、攻撃対象の場所までが把握出来てしまう
⑰LAN側からTelnetや管理画面にアクセス可能で、セキュリティ対策が十分でないWi-Fiルータだと、こうした機器がホテルや会議場、喫茶店等に設置されていると、攻撃者は客として出向いてLANからマルウェアを仕掛ける場合もある
⑱この場合、正規のアクセスポイント経由での攻撃となるため気付かれにくく、脆弱な状態のまま長年放置される可能性もあり、接続した利用者の通信を定常的に監視されると云う標的型攻撃・水飲み場攻撃の「ダークホテル」と云う攻撃手法となり、主に企業のエグゼクティブ、研究開発部門や営業・マーケティング部門の責任者等を標的に、機密情報の窃取を目的としたものが多い
⑲攻撃者のホテルのネットワーク機器への侵入径路等の詳しい実態は不明だが、感染事例の全体の内3分の2が日本で起こっている
⑳企業のエグゼクティブ、研究開発部門や営業・マーケティング部門の責任者等じゃないからと安心してはいけない!機密情報狙いより、最近はカード情報窃盗等の金銭狙いの事例が多いからだ
【以下転載1】
https://internet.watch.impress.co.jp/docs/yajiuma/1581367.html
「RFIDカードを用いた電子キーに脆弱性が見つかる。世界131カ国のホテル、300万カ所のドアに影響」
INTERNET Watch tks24 2024年4月3日 11:45
ホテルで導入されている電子キーに脆弱性が発見され、海外で波紋を呼んでいる。
これは、ビジネスホテルなどでおなじみのRFIDカードを用いた電子キーにおいて、1組の偽造キーカードを用いることで、施設内の全ての部屋のロックを解錠できるというもの。
対象となるのはドルマカバ(Dormakaba)社のロックで、世界131カ国・1万3000以上のホテルにあるロック300万カ所以上が影響を受ける大規模なもの。
「Unsaflok」と命名されたこの脆弱性の詳細は公表されていないが、チェックイン中の自身が所有しているキーカードはもちろん、チェックアウト時の回収ボックスから取り出した期限切れのキーカードから情報を読み取ることでも悪用できてしまうというから厄介だ。
この件を報じた「The Hacker News」によると、ドルマカバ社が今年3月までに対策を施したのは、影響を受けるロックの36%にとどまっているとのこと。
一般的にこうしたホテルの電子キーはメーカー名やモデル名が判別できず、また、判別できたとしても対策済みか否かは分からないため、ホテルなどに宿泊する際は留意しておいたほうがよさそうだ。
・「数百万室のホテルで使われている「ドルマカバ錠」が数秒で解読可能に(The Hacker News)」
https://thehackernews.com/2024/03/dormakaba-locks-used-in-millions-of.html
・「Unsaflokは、Saflokブランドのホテル・ロックに於ける一連の深刻なセキュリティ脆弱性である(Unsaflok)」
https://unsaflok.com/
・「デジタル庁、新型コロナワクチン接種証明書アプリを提供終了。機能停止バージョンを公開」
https://internet.watch.impress.co.jp/docs/yajiuma/1581005.html
・「国土交通省が新サイト「不動産情報ライブラリ」を無料公開、早くも神サイトと評判」
https://internet.watch.impress.co.jp/docs/yajiuma/1581368.html
関連記事:
・「アジアの高級ホテル宿泊者を狙った「Darkhotel」攻撃、日本の被害が最多、2014年11月12日」
http://internet.watch.impress.co.jp/docs/news/675785.html
・「フリーWi-Fiの管理ID/パスワードが初期設定のまま!? 攻撃者が施設に直接出向いてマルウェアを仕掛けられる危険性も、2018年11月16日」
https://internet.watch.impress.co.jp/docs/news/1153820.html
【以下転載2】
https://internet.watch.impress.co.jp/docs/news/675785.html
「アジアの高級ホテル宿泊者を狙った「Darkhotel」攻撃、日本の被害が最多」
INTERNET Watch 2014/11/12 20:34
Kaspersky Labsは11日、アジアの高級ホテルのネットワークを標的として、宿泊者のPCにマルウェアを感染させる攻撃が長年行われていたことを確認したとして、注意を呼び掛けた。
Kasperskyが「Darkhotel」と呼ぶこの攻撃では、アジアの高級ホテルに宿泊する企業幹部や政府関係者などが狙われた。
宿泊者がホテルの無線LANなどに接続しようとすると、GoogleツールバーやFlashなどのソフトウェアのアップデートを行うよう促し、この際に正規のインストーラーを装ったバックドア入りのプログラムをダウンロードさせるという手口が用いられた。
この手口は、限定された宿泊者にのみ実行されたとみられ、Kasperskyのスタッフが同じホテルを訪れた際には攻撃は行われなかったという。
このことから確定的ではないが、攻撃者は宿泊者に関する情報も把握して攻撃を行っていたのではないかと分析している。
添付図1_「Darkhotel」攻撃
Kasperskyでは、ホテルの滞在者に対する攻撃について、FBIが最初に言及したのは2012年のことだったが、Darkhotelの活動に使われたマルウェア「Tapaoux」の出現は2007年にさかのぼり、活動を統制するC&Cサーバーの記録も2009年1月までさかのぼれることから、この活動はかなりの期間に渡るとみられるとしている。
また、Darkhotelで用いられたマルウェア「Tapaoux」は、防衛産業や政府、NGOなどを標的とした標的型フィッシング攻撃にも利用された。
これらのフィッシング攻撃では、Internet ExplorerやAdobe製品のゼロデイ脆弱性が利用されていた。
こうした脆弱性を発見するのは容易ではないことから、この攻撃には高価で取り引きされるサイバー兵器を購入可能なほど資金が潤沢なスポンサーが背後にいるか、ハイレベルな専門的技術を持つエージェントが関わっていると考えられるとしている。
また別の手口としては、Torrentサイトを通じて配布される日本のマンガなどのアーカイブファイル中で、暗号化されたファイルの復号用と称したプログラムにより、マルウェアに感染させるといった手口が確認されている。
攻撃者は検知を防ぐ手段を複数講じており、たとえばマルウェアは感染してから180日後にC&Cサーバーに接続するといった、長い"潜伏期間"が設けられていた。
また、システムの言語が韓国語に切り替えられると、自滅する仕組みも備わっていたという。
Kasperskyの調査によれば、感染PCが最も多いのが日本となっている。
日本、台湾、中国、ロシア、韓国の上位5カ国の感染の割合が9割以上を占める。
添付図2_感染PCの国別の割合
(三柳 英樹)
関連リンク:
・「カスペルスキー公式ブログの該当記事」
http://blog.kaspersky.co.jp/darkhotel-apt/5392/
【以下転載3】
https://internet.watch.impress.co.jp/docs/news/675785.html
「フリーWi-Fiの管理ID/パスワードが初期設定のまま!? 攻撃者が施設に直接出向いてマルウェアを仕掛けられる危険性も」
INTERNET Watch 磯谷 智仁 2018年11月16日 18:16
図_横浜国立大学大学院環境情報研究院准教授の吉岡克成氏
Wi-FiルーターにデフォルトのID/パスワードを設定することの危険性について、横浜国立大学大学院環境情報研究員准教授の吉岡克成氏が、11月16日に行われたAvastの新製品発表会(関連記事『Avast、VPNアプリ「HideMyAss!」の国内提供を開始、月額813円から』参照)で説明を行った。
■Wi-Fiルーターの管理画面も公開状態、ID/パスワードもデフォルトな施設が多かった
吉岡氏によれば、ホテルや喫茶店などに設置されているWi-Fiルーターは、工場出荷時のデフォルトのID/パスワードのままで、管理画面もインターネット経由で誰でもアクセスできる状態になっていることが多いという。
携帯電話回線経由でインターネットに接続し、屋外などの環境でも動作する、空港シャトルバスなどで利用される業務用Wi-Fiルーターについても、管理画面にアクセス可能なケースが100件以上確認されたという。
モバイルWi-Fiルーターも同様のケースが600件以上確認された。
こうした場合、管理画面からWi-Fiルーターの型番を特定し、オンラインマニュアルから入手したデフォルトのID/パスワードで不正アクセスされる恐れがある。
また、DNS設定の改ざんで偽サイトなどに誘導されたり、通信内容を盗み見られる危険性がある。
実際、吉岡氏が出張先で利用したシャトルバスでも、Wi-Fiルーターの管理画面にアクセスできる状態になっていたそうだ。
添付図3_Wi-FiルーターのDNS設定が改ざんされると通信内容が盗み見られる危険性がある
Wi-Fiルーターの管理画面がインターネット上に公開された場合に何が起こるのか、横浜国立大学でハニーポットを設置したところ、SSID、パスワード、ローカルIPアドレス、接続タイプ情報、DNS情報の取得を目的に自動化された攻撃が観測された。
Wi-Fiルーターの設置地域をSSIDから特定できるウェブサイトを利用することで、攻撃対象の場所までが具体的に把握できるという。
添付図4_横浜国立大学で設置したハニーポットでは、Wi-Fiルーターの設定情報を自動的に取得する攻撃が確認された
添付図5_Wi-Fiルーターの設置地域をSSIDから特定できるウェブサイトも存在する
■施設利用者を狙う「ダークホテル」、3分の2が日本での被害という報告も
このほか、LAN側からTelnetや管理画面にアクセス可能で、セキュリティ対策が十分でないWi-Fiルーターも多く存在するという。
こうした機器がホテルや会議場、喫茶店などに設置されている場合、攻撃者は客として出向いてLANからマルウェアを仕掛ける場合もある。
正規のアクセスポイント経由での攻撃となるため気付かれにくく、脆弱な状態のまま長年放置される可能性もあり、接続した利用者の通信を定常的に監視されるリスクがある。
これは標的型攻撃・水飲み場攻撃の一種である「ダークホテル」という手法で、主に企業のエグゼクティブ、研究開発部門や営業・マーケティング部門の責任者などを標的に、機密情報の窃取を目的としたものが多い。
添付図6_攻撃者が直接施設に出向いてWi-Fiルーターをマルウェアに感染させることも
攻撃者がどのようにホテルのネットワーク機器に侵入しているのかなどについて詳しい実態は判明していないが、感染事例全体のうち3分の2が日本で起こっているという報告もあるという。
ホテルや会議場、客船ターミナルなどに設置されているネットワーク機器のセキュリティ状態を調査したところ、調査対象10数件の施設のうち、Telnetが動作しているケースが6件確認された。
同氏は「公共ネットワークのセキュリティレベルは十分でない」と指摘し、これらのネットワーク環境を利用することで、情報漏えいやマルウェア感染のリスクが確実に高くなるとして注意を促した。
添付図7_調査を行った結果、Telnetが動作しているケースが6件確認された
関連リンク:
・「HideMyAss!」
https://www.hidemyass.com/ja-jp/index
関連記事:
・「Avast 2019」提供開始、AIでフィッシングサイトの検出強化、全画面表示アプリ実行時の通知オフなど、2018年10月16日
https://internet.watch.impress.co.jp/docs/news/1147994.html
・「IoT機器がマルウェアに感染する元凶は「Telnet」~横浜国大・吉岡克成准教授、2017年3月3日」
http://internet.watch.impress.co.jp/docs/news/1047673.html
・「3分の2がルーターのID/パスワードを未変更、4割が管理画面の存在を知らず~Avast調査。2018年7月20日」
https://internet.watch.impress.co.jp/docs/news/1133918.html
