富山県による情報漏えい事案まとめ(2021/10~2022/5)
2022/05/24富山県が2022年に入って6回目の個人情報漏えいを起したという報道があった。
こちらの記事にその6件の一覧表がある。
県が発表した対策は「ダブルチェックを徹底し再発防止に努める」とのことだが、対策としてダブルチェックが妥当なのか、漏えい事案をまとめてみた。
以下、富山県の公式サイトの「報道発表」コーナーと、そこにないものは各種報道のリンクを張る。なお、漏えい事案は今年に入ってからに限らないことが分かる。
2021/10/13 「T-Messe2021富山県ものづくり総合見本市バーチャル展示場」における個人情報の漏洩について
富山県/「T-Messe2021富山県ものづくり総合見本市バーチャル展示場」における個人情報の漏洩について
- オンラインのバーチャルイベント会場で事前登録者の個人情報が取得できる状態にあった。
- 委託先事業者による設定ミス。
2021/11/26 とやまのライチョウサポート隊における個人情報の漏洩について(メールアドレス誤送信)
富山県/とやまのライチョウサポート隊における個人情報の漏洩について(メールアドレス誤送信)
- イベント参加者75名へのメールで、他の受信者のメールアドレスが見える状態で送信。
- 県職員によるミス。
(おそらくBCCで送信すべきところをTOかCCで送信したと思われる)
2021/12/17 「OB・OGカフェ」における個人情報の漏洩
- 学生61名にメールを送信する際、その61名の個人情報が記載されたパスワード付きファイルを誤って添付。
- 委託事業者による送信時の作業ミス。
2022/01/24 製薬会社の監督課が公益通報メールを誤送信 富山県「くすり政策課」
製薬会社の監督課が公益通報メールを誤送信 富山県「くすり政策課」:朝日新聞デジタル
富山県、メール誤送信で通報者情報漏洩 医薬品関係者へ: 日本経済新聞
通報メール、アクセス制限 告発漏えいで新ルール 富山県薬事審議会(北國新聞社) - Yahoo!ニュース
- 製薬企業の監督部署にとどいた公益情報(内部告発情報)の通報者の個人情報を業界関係者240人に誤って送信。
- 県職員によるミス。
書類をスキャンしてPDF化する際に、通報者の個人情報を含む書類が紛れ込んでPDF化されてしまったとのこと。
2022/02/01 冊子「とやまの国際交流 2022」作成における個人情報の漏洩について
富山県/冊子「とやまの国際交流 2022」作成における個人情報の漏洩について
- 県が発行する冊子の作成依頼を250団体へ送信する際、誤って各団体の「住所」「メールアドレス」「担当者名」記載の表を添付
- 県職員によるミス。
2022/03/04 「保護者向け富山県職員採用説明会」参加申込者へのメール誤送信について
富山県/「保護者向け富山県職員採用説明会」参加申込者へのメール誤送信について
- 参加申込者あてにメールを送信する際、BCCにすべきところTOにしてしまった。
- 県職員によるミス。
2022/04/19 富山県看護学生修学資金の返還案内の誤送付について
- 看護学生の修学資金返還について本人と異なる書類を誤って郵送(メールではなく紙の書類)
- 県職員によるミス。
別報道によれば223人が対象。
2022/05/13 医療用麻薬の取り扱い免許 県が誤送付 医師の勤務先とは別の医療機関に
医療用麻薬の取り扱い免許 県が誤送付 医師の勤務先とは別の医療機関に | 富山県のニュース|チューリップテレビ
- 医療用麻薬の取扱い免許証手続きで、医師1名の免許証を別の医療機関に誤って送付(メールではなく紙の書類)
- 県職員によるミス。
2022/05/24 なぜ続く?県の情報漏えい今年6件目 事業所の非公表情報を191社にメール誤送信・富山県
富山県、今月2件目情報漏えい メールに書類を誤添付:北陸中日新聞Web
なぜ続く?県の情報漏えい今年6件目 事業所の非公表情報を191社にメール誤送信・富山県 | 富山県のニュース|チューリップテレビ
- 県内法人191社に抗原検査キットに関する文書をメール送信した際、無関係な事業所1社の非公開情報を誤って添付(個人情報の漏えいではない)
- 県職員によるミス。
本件は、職員が作成した圧縮形式の添付ファイル内に誤ったファイルがあることに上司が気づき、再作成を指示した。ところが、再作成する前に当の上司が無関係なファイルを誤って紛れ込ませ、職員は上司がチェック済みとしてそのまま圧縮、送信した。
つまり、ダブルチェックが機能しなかった事例ということになる。
以上
マイクロソフトが公開した「プレ・ハイジャッキング攻撃」の調査論文を要約
マイクロソフト・セキュリティーレスポンスセンターが「プレハイジャッキング攻撃」と呼ばれる新種の攻撃について2022/05/20調査論文を公開したとのこと。以下、要約。
被害者が登録しそうなウェブサイトに前もって本人のメールアドレスでアカウント登録し、本人が登録してウェブサイトを使い始めた後、アカウントを乗っとるという攻撃。攻撃が成立するのは被害者がまだ登録していないサイトのみ。
被害が起こりうる場面として挙げられているのは以下のような場合。
- 被害者が登録済みのサイトの傾向から、今後登録しそうなサイトを推測できる場合
- 被害者の所属組織がこれから利用する予定のサービスを特定できる場合
- ユーザー数が増加中の人気サービス(ウェブ会議など)
たとえ被害者が登録済みであっても、攻撃者には何のリスクもないのが特徴。
同センターがじっさいに最も人気のある75のウェブサイトで分析した結果、少なくとも35サイトにこの攻撃の脆弱性が見つかった。広く使われているクラウドストレージ、SNS、専門家のネットワーキングサービス、ブログ、ウェブ会議サービスなど。(これらウェブサイトには2021/03~09に脆弱性を報告済み)
この75サイト以外にも脆弱なウェブサイトやサービスが存在する可能性は高い。
根本的な原因として、登録時にメールアドレスの所有確認が完了する前に、サービスの一部が利用できることがある。この時間差が脆弱性になっている。ショートメッセージや自動音声通話などによる登録時確認でも同じ脆弱性が生じうる。
ウェブサイト側の対策として、確認が完了するまで一切サービスが使えないようにすること。
それに加えてウェブサイト側では次のような追加対策が考えられる。
- ユーザーがパスワードリセットをしたとき以下のことを行う。
1) すべてのセッションを強制サインアウトし、認証トークンもすべて無効化する。
2) メールアドレス変更手続き中の場合はすべてキャンセルする。
3) アカウントにひもづく連携先の認証アカウントや、電子メール、電話番号に通知を送信する。
2つのアカウントをマージする際、両方とも本人のものかユーザーに確認する。
電子メールの変更をユーザーにメールで確認する際(認証トークンを埋め込んだURLをクリックしてもらうなど)、確認の制限時間をできるだけ短くする。
本人が確認していないアカウントを監視して定期的に削除する。
ユーザー側の対策としては、多要素認証を有効化することが考えられる。事前にアカウントを登録されていたとしても、自分が登録して以降、攻撃者に悪用されるのを防げるため。(なおユーザーが多要素認証を有効化したとき、ウェブサイト側はそれまでの全セッションを無効化すること)
要約は以上。
*) 2022/05/24 10:42更新
Bleeping Computerに記事が出てましたね。
中国CNCERT/CCの月報を読んでみる
中国CNCERT/CCの週報は以前にご紹介しましたが、月報「インターネットセキュリティ脅威レポート(互联网安全威胁报告)」には何が書いてあるかざっくりまとめてみました。
月報のインデックスはこちら。今回読んでみるのは2022年3月分です。 www.cert.org.cn
以下、数字の増減はすべて前月比です。 (なお「境内」は国内、「境外」は国外の意味ですが香港は中国国内でも「境外」扱い)
ウェブサイト改ざん
- 境内の改ざんサイトは9,080 (+173.2%)
- 境内のバックドアを仕掛けられたサイトは2,524 (+40.5%)
- 境内2,262サイトを境外IPアドレス2,918個が遠隔制御
- それら境外IPの主なものは香港、米国、アルメニア等
- 制御している国内IP数では香港が513で最多。ついで米国453、英国441。
フィッシング
トロイの木馬・ボットネット
脆弱性
- 今月CNCERTが収集整理した脆弱性は2,431件 (+42.7%)。Criticalは781件 (+61.4%)
インシデント報告・対応
- CNCERTが受理したインシデント報告 9,843件 (+16.7%)。うち脆弱性4,444件、マルウェア3,823件
- CNCERTが各省と強調して対応したインシデント9,834件。うち脆弱性4,437件、マルウェア3,821件
モバイル
以上
米国とEUの個人データ移転に関する基本合意についてシュレムズ氏の反応
2022/03/25、バイデン米大統領とフォンデライエン欧州委員長がブリュッセルで米EU間の個人データ移転ルールで基本合意したとのこと。
そもそも米国のSafe Harbor、Privacy Shieldにもとづいて許可されていた欧州から米国への個人データ移転が無効になったのは、個人データ保護に関するNGO「noyb」を主宰するシュレムズ氏の訴えによる欧州司法裁判所の判断だった。
そのシュレムズ氏が「Privacy Shield 2.0?」と題して、今回の基本合意にさっそく反応しているので要約してみる。
このタイトルは「Privacy Shieldの単なる焼き直しなのでは?」という意味だろう。
まずシュレムズ氏の現状認識は以下のとおり。
- 単なる政治的声明であり、分析できる文書になるまで数か月かかるだろう。
- おそらく「原則上の合意」であり、Privacy Shieldに関するこの2年間の議論を完全に解決するものではない。
- noybの知るかぎり米国は個人データ監視に関する法律を変える計画はない。Safe HarborとPrivacy Shieldの両方を無効とした欧州司法裁判所の判断が今回くつがえるかは不透明だ。
- 個人データの商業利用を原則とするPrivacy Shieldは更新されていない(訳注:今回の基本合意はあくまで政治的なものだということ)。
- 今回の合意はまず法的に有効な文書にもとづいてEDPBがレビューする必要がある。実際の個人データ移転の十分性認定はそこからさらに数か月かかるだろう。
- 各企業は正式に承認されるまであと数か月待つ必要がある。
- EDPBが十分性認定をした場合、すぐに欧州司法裁判所の判断を待つ必要がある。
- しっかり文書化されていない政治的な声明であるため、当面は法的に不確実な状況が生じそうだ。
この現状認識をふまえたシュレムズ氏の声明は以下のとおり。
私たちはすでに2015年に法的根拠のない純粋に政治的な合意をしています。今回の声明を聞くかぎりでは、また同じことを三度くり返すかもしれません(訳注:Safe Harbor、Privacy Shieldの無効化につづく三度目の意味)。
今回はフォンデアライエンが望んだ象徴的な合意ですが、ブリュッセルの専門家は支持していません。米国側の動きがないからです。
米国はウクライナでの戦争を利用して、EUとの経済的な問題を推し進めようとしていますが、これにはあきれるばかりです。
最終的な文書化にはもう少し時間がかかるでしょう。文書がとどけば米国法の専門家とじっくり分析するつもりです。もしEU法に沿っていなければ、私たちか別のグループが訴訟を起こすでしょう。最後には欧州司法裁判所が三度目の判決を出すことになります。数か月以内に裁判所で最終判断がされると期待しています。
残念なのは、EUと米国がこの状況を活かして、同じ民主主義をかかげる者としての基礎的な保障の上に「反諜報」合意に至ろうとしないことです。顧客や企業は向こう数年間、法的な不確実性に直面することになります。
以上のように、シュレムズ氏は今回の政治的な合意声明について、当然ながら懐疑的なようだ。
LAPSUS$の攻撃手法についてのMicrosoft社ブログ要約
MicrosoftがLAPSUS$(DEV-0537)という攻撃者の攻撃手法 (Tactics, Techniques and Procedures) について長文ブログを公開したので要約してみます。(以下、呼称はLAPSUS$を使います)
同社自身も従業員1名のアカウントを侵害されたものの、アクセス権が限定的でリスクの上昇にはつながらなかったとのことです。
他にもNVIDIA、OktaなどもLAPSUS$の不正アクセス被害にあっているようです。
なおこの記事を書いている時点でLAPSUS$の首謀者の1人は英国オックスフォード近郊に住む16歳の少年の疑いがあるとの報道もあります。
初期アクセス
最初のユーザーアカウントを乗っ取る手段は以下のとおり。
- Redlineというパスワード窃取型マルウェアでパスワードとセッショントークンを取得する
- 地下掲示板で認証情報やセッショントークンを購入する
- 従業員を買収し (サプライヤーや取引先ふくむ) 認証や多要素認証にアクセスする
- 公開されているコードリポジトリにさらされている認証情報を探す
窃取した認証情報は、インターネットに公開された状態のVPN、RDP、仮想デスクトップ (Citrix、Azure Active Directory、Oktaなど) への不正アクセスに悪用される。
多要素認証の突破方法
- セッショントークンを流用する (リプレイ)
- 盗んだパスワードで多要素認証の承認要求プロンプトを何度も表示させ、本人がクリックするように仕向ける
- 個人アカウントへの不正アクセス。たとえば二要素認証やパスワード再設定に使われているメールアドレスやスマホの電話番号を盗み (SIMスワッピングなど) 、それを悪用してパスワードをリセット、本アカウントに侵入する
従業員の買収に成功した場合の手口
- 認証情報を提供させる
- 多要素認証の承認要求プロンプトを承諾させる
- 社内PCにAnyDeskなど遠隔操作ソフトをインストールさせる
初期アクセス成功後は、自分たちのシステムをVPN経由で被害組織に接続したり、Azure Active Directoryに登録、参加させるなどする。
偵察・特権昇格
- パッチ未適用の脆弱性を探す (JIRA、Gitlab、Confluenceなど)
- 社内のコードリポジトリやコラボレーションプラットフォームでさらされている認証情報やシークレットを探す (SharePoint、Teams、Slackなど)
- AD Explorerなどの公開ツールで全ユーザー、グループを列挙し、特権アカウントを探す
- DCSync、Mimikatzなどのツールで特権昇格する
- ドメイン管理者相当の特権が奪取できたら、ntdsutilコマンドでActive Directoryデータベースを抽出する
ソーシャルエンジニアリングの手法
特権昇格にはソーシャルエンジニアリングの手法も用いられる。
たとえば、事前にプロフィール写真などの情報を収集、英語のネイティブスピーカーに電話をさせ、ヘルプデスク担当をだまして特権アカウントのパスワードをリセットさせる。また、よくある秘密の質問、「生まれて最初に住んだ場所」や「母親の旧姓」などの回答を調べておく。
ヘルプデスクを外部委託している企業で、特権アカウントの管理も任せている場合にこの戦術 (tactics) が有効。
抽出、破壊、脅迫
- 外向けの通信にNordVPNを利用した専用システムを仮想サーバー上に準備する
- アクセス元から足がつかないように、攻撃対象の組織に近い場所のVPNアクセスポイントを使う
- 自分たちのシステムを相手組織のVPNに接続したり、Azure Active Directoryに登録しておく
- 自分たちのシステムに機密データをダウンロード、脅迫のネタにつかう。
- 相手のクラウド環境に仮想マシンを作成し、組織全体への攻撃をつづける足がかりにする
- 相手のクラウドテナント (AWS、Azureなど) の特権獲得に成功すると、全体管理者アカウントを作成する
- Office 365の場合、メール送受信ルール (トランスポートルール) を作成、自分たちのアカウントに転送設定する
- 他の全体管理者アカウントをすべて削除し、クラウド環境の管理者権限を独占する
- データ抽出後、相手の全システム、全リソースをオンプレミスも含めて(VMware vSphere/ESXiなど)削除する
- 組織のインシデント対応プロセスを開始させる
- インシデント対応が開始されると、組織内のコミュニケーションツール(Slack、Teams、電話会議など)に侵入する
- 組織のインシデント対応がどのようなフローになっているかを調べる
- 組織の心理状態や、侵入方法についての理解度を知り、脅迫の内容や方法を決める
- 情報公開をネタに脅迫する場合もあれば、脅迫せずにそのまま公開してしまう場合もある
以上、LAPSUS$(DEV-0537)の攻撃手法についてのMicrosoft社ブログの要約でした。