piyolog

piyokangoの備忘録です。セキュリティの出来事を中心にまとめています。このサイトはGoogle Analyticsを利用しています。

ハッキングフォーラムへ投稿された多数のVPNサーバーの認証情報についてまとめてみた

2020年8月4日、ZDnetはハッキングフォーラム上で900を超える脆弱なVPNサーバーから取得した認証情報が公開されたと報じました。ここでは関連する情報をまとめます。
www.zdnet.com

何が起きたの

  • 900件以上のVPNサーバー(Pulse Connect Secure)のパスワードを含む情報がハッキングフォーラムで公開された。その1割が日本国内のIPアドレス。
  • ファイル生成日より2020年6月末から7月にかけデータ窃取の不正アクセスが行われた可能性がある。
  • 影響を受けたサーバーの場合、ファームウェア更新だけでなく、パスワード変更やセッション破棄を即行う必要がある。

1年以上前に修正された脆弱性悪用か

フォルダ名にメモ書き?

  • 「pulse1」等と数字の付けられたフォルダにIPアドレス別に分けられたフォルダが格納されており、テキストデータとしてPulse Connect Secureより取得したとみられる次のデータが含まれていた。
    • Pulse Connect Secureのファームウエアバージョン情報
    • サーバーのSSH秘密鍵
    • ローカルアカウントの情報(アカウント名、ユニークID、パスワードハッシュ)
    • 管理アカウントの情報(アカウント名、ユニークID、パスワードハッシュ)
    • 観測されたVPNログイン済ユーザーの情報(アカウント名、パスワード(平文)、名前、メールアドレス、OS、言語、IPアドレス)
    • VPNセッション Cookieの一覧(Cookieとそのユーザー(アクティブかを含む)のリスト)
  • 出力されたレポート形式から、セキュリティ研究者のJon Williams氏が公開した「pwn-pulse.sh」を使用したのではないかとみられる。
f:id:piyokango:20200808020716p:plain
CVE-2019-11510の脆弱性を用いて様々な情報を取得するスクリプト
  • フォルダ名にはコメントとみられる文字列が散見された。「валид сидит юзер(有効なユーザーあり)」「валид но не подходят юзеры к рдп(有効だが、ユーザーがRDPを使えない)」「hash not found」など。目を引いたのか組織名らしき文字列が書かれているフォルダもあり、日本企業の名前も含まれていた。ツールを回して単にレポートを吐いただけでなく、その内容を確認しどこが落とせるか、あるいは価値があるか選別している可能性がある。
f:id:piyokango:20200808020355p:plain
コメント?入りのレポート格納フォルダ
  • 911件のIPアドレスの国別内訳トップ10は以下の通り。ただし、リスト中には海外現地法人なども含まれている。
国名 件数
アメリカ 262
日本 90
イギリス 59
中国 59
フランス 42
ドイツ 40
香港 33
韓国 29
スペイン 25
台湾 23
その他 249

投稿先フォーラムでは標的型ランサムの関係者も参加

  • 報じられたデータの投稿日は8月4日。投稿されていたのはロシア語圏のハッキングフォーラム。*1
  • ポストされたタイトルには1800といった数字があるが、実際に公開されたデータは900件超だった。数に差異があることについては投稿での言及はされていない。(そのためまだ他にも手持ちがあるのか等は不明)
  • 8月7日時点でフォーラムへ投稿されたURLの参照先は削除されていたが、別のフォーラムではコピーしたファイルなどが流通している状況。
  • データ公開の投稿が行われたフォーラムでは複数の標的型ランサムのアクターも投稿を行っており、同様の情報を得て活動している可能性も考えられるとZDnetは指摘している。
  • 関係性は不明だが、国内で標的型ランサムの被害を受けた組織が使用しているとみられるVPNサーバーもこのデータに含まれていた。
f:id:piyokango:20200808013649p:plain
ハッキングフォーラムへの投稿

国内メディアの報道

2020年8月25日に日経が1面で取り上げ、後追いで朝日、共同通信が取り上げた。24日に先行公開されたWeb記事は相当の反響があり、「不正接続」が一時Twitterのトレンドにも上がっていた。

  • 「38社」は日経が報じた先のデータに含まれていたものの中で帰属組織の確認が取れた数字。朝日新聞は独自にデータを入手、分析し少なくとも50以上の組織が含まれていたと報じている。名指しされた各社は社内システムの被害発生を否定するリリースを相次ぎ公表している。
名指しされた企業 報道に対する見解
住友林業 セキュリティ専門会社の助言を受け、社内システムへの不正アクセスがないことを確認済。以前より多要素認証を導入しており、第三者の侵入はできない。
岩谷産業 利用中のVPN装置に脆弱性が残っていたため数件の認証情報の流出を確認。別の認証も組み合わせた対策をとっており、第三者がアクセスできない仕組み。
オンキヨー 2019年9月時点で脆弱性は対策済み。9月以前からもOTP、他認証による対策実施済み。社内データ流出等の被害発生は確認していない。
全薬工業 事前に情報入手し対応中。複数の認証を使用しており、社内システムへの侵入はされていない。
ダイヘン 以前から多要素認証を採用。発表時点で社内システムへの侵入事実なし。
ゼンショーHD 現時点で不正アクセスの事実は確認されていない。情報流出については調査を継続中。
日本アンテナ 状況把握、対応完了済。アクセス制御は当該事象以外に実施しており、現時点で被害確認無し。

在宅勤務の緊急対応で被害

平田機工がVPN装置の脆弱性に起因するインシデント報告を行っている。

  • Pulse Connect Secureといった直接の言及はないが、ファイルのタイムスタンプが6月25日だったこと等から関連インシデントとみられる。
  • 平田機工は元々脆弱性対応が済んでいたVPN装置を運用していたが、在宅勤務による負荷分散のため急遽取り換え前の旧装置を稼働することとなった。
  • 旧装置には脆弱性が残ったままであったため、これを悪用され認証情報が盗み取られる事態が発生。しかし、事前に登録された機器からのみアクセスを許可する設定としたことから、ログインが試行されるも失敗。社内システムへの侵入形跡は確認されていない。

これまで公開されたデータから推定していた以下事実を平田機工の発表から伺い知れた。

  • データは創作物ではなく、脆弱性が本当に悪用され盗まれたもの。
  • 公開された情報は実際に悪用(不正アクセス)されている。

更新履歴

  • 2020年8月8日 AM 新規作成
  • 2020年8月26日 PM 国内報道の件を追記

*1:経緯未確認だが8月8日時点で投稿者のアカウントは停止されていた。