国連のネットワーク侵害が判明:ダークウェブ上のログイン情報が悪用される?

Experts confirmed that the networks of the United Nations were hacked earlier this year

2021/09/10 SecurityAffairs — この木曜日に国連 (United Nations) は、今年初めに同組織のコンピュータ・ネットワークが、サイバー攻撃を受けたことを確認した。UN Secretary-General のスポークスマンである Stéphane Dujarric は Bloomberg に対して、「未知の攻撃者が 2021年4月に、国連のインフラの一部に侵入したことを認めた。国連は、持続的なキャンペーンを含め、頻繁にサイバー攻撃の標的となっている。また、この侵害に関連した、さらなる攻撃も検知され、対応していることを確認している」と述べている。

脅威アクターたちは、政府機関を狙う攻撃に利用可能な、機密情報を含む膨大な量の文書を盗み出した。Bloomberg によると、この攻撃に際して脅威アクターたちは、ダークウェブで購入した国連職員の認証情報を使用している。サイバー・セキュリティ企業 Resecurity の研究者たちは、国連が独自に開発したプロジェクト管理ソフトウェア Umoja が侵入経路であることを突き止めた。攻撃者たちは侵入後に、標的となるネットワークに足場を築き、機密データを求めて横方向へ移動している。今回の攻撃に使われた Umoja のアカウントは、二要素認証 (2FA) で保護されていなかったようだ。

Resecurity の CEO である Gene Yoo は「国連のような組織は、サイバー・スパイ活動にとって、高い価値のあるターゲットだ。この脅威アクターは、長期的な情報収集を目的とし、国連ネットワーク内の多数のユーザーを危険にさらすために侵入した」と説明している。同社の分析によると、国連ネットワークへの最初の不正アクセスは 4月5日であり、攻撃者は8月7日まで、そこで活動していたことになる。標的となった国連という組織の性質や、その後に恐喝が行われていないことから、脅威アクターたちはサイバー・スパイ活動に関与していると考えられる。

今回の攻撃を発見した Resecurity は、今年の初めに、その調査結果を国連と共有し、この国際機関がセキュリティ侵害の範囲を特定するのを支援したに。国連の Stéphane Dujarric 報道官は、国連のセキュリティ・チームは、すでに攻撃を検知していたと発表している。

当初、国連の専門家たちは、データが流出していないと述べていたが、Resecurity のチームは、データ流出の証拠を発見している。国連をはじめとする国際機関は、サイバー犯罪者や国家支援の活動家にとって、何ものも比類しないターゲットである、そして、残念なことに、その職員が所有するログイン認証情報が、ダークウェブで販売されていることを見つけるのは、とても簡単なことである。

2020年1月に、The New Humanitarian にリークされた国連の内部機密報告書により、ジュネーブとウィーンのオフィスで、同組織の数十台のサーバーが侵害されたことが明らかになった。巧妙なサイバー攻撃を受けたオフィスのひとつが国連人権事務局であり、ハッカーは Active Directory を侵害した後に、スタッフ・リストや電子メール・アドレスなどの、詳細情報にアクセスしていった。この報告書によると、攻撃者はパスワードにはアクセスしなかったとのことだ。

このインシデントのポイントは、国連のような組織であればあるほど、その職員の個人情報がダークウェブで入手しやすく、職務上の ID/PW も簡単に購入できるという点でしょう。また、侵入経路となったプロジェクト管理ソフトウェア Umoja が、 二要素認証 (2FA) で保護されていなかった点も問題です。先日に、CISA が一要素認証をバッド・プラクティスと認定したように、これではクリティカルなシステム/サービスは守れません。

%d bloggers like this: