イスラエルとハマスの戦争が始まって以来、サイバー攻撃の頻度が急激に増加していることに気づいているでしょうか。サイトの改ざん、DDoS攻撃、データ流出など、世界中のハクティビストによる攻撃が増えています。彼らは国境も境界線も越えて攻撃を仕掛けてきます。
エルサレム・ポストのような大手メディアのサイトが攻撃されることが多く報道されますが、私たちが注目しているのは、目立たないターゲットに対する一対多のサイト改ざんです。「一対多」とは、一つのリソースを狙って多数のウェブサイトを侵害する攻撃のこと。多くの攻撃は、中東紛争に関連すると主張する単一のIPアドレスから発信されています。これは、脅威行為者(TA)が単一の脆弱なリソースやアプリケーションを利用して、そのプロキシやサーバーにあるサイトを操作しているという仮説につながります。こうした攻撃の多くは、ホスティングプロバイダーを利用しています。インターネット全体が彼らの標的となっているため、潜在的なターゲットは誰もが含まれます。
Threat actor CYBER ERROR SYSTEM flexes after several site defacements, all on a single IP
過去2週間にわたり、ハッカーフォーラムで公表されたサイト改ざんを分析しました。例えば、ハクティビストによって報告された4,069件のサイト改ざん攻撃の中で、3,480のユニークなドメインが標的とされましたが、それらはたった1,426のユニークなIPアドレスに限られていました。さらに、同じターゲットリストに関連するユニークなASN(Autonomous System Numbers)は271に過ぎませんでした。
これらの統計は、ハクティビストたちが狙うターゲットの種類を明らかにしています。もし自分のサイトが危険にさらされているかどうか疑問に思っているなら、答えは「はい」です。トラフィックの少ないサイトでも、ハクティビズムの名の下に攻撃者が旗を立てる機会を狙っています。個々のTAの動機は一様ではありませんが、多くは自分たちの成功を祝う仲間たちの前で信用を得たり、プライドを示したりすることに関心があるようです。以下に、我々の仮説を裏付ける例をいくつか挙げます。
攻撃者:SanRei
SanReiという名前のTAは、23のユニークなIPアドレスと15のASNにまたがる69のユニークなドメインを標的にしました。SanReiのターゲットの72%は、特定のホスティングプロバイダーに関連していました。これは、彼らが特定のホスティングプロバイダーの脆弱性を利用している可能性が高いことを示唆しています。
我々が分析した9つのドメインでは、いくつかのサイトが同じテキストやコピーを含んでいましたが、グラフィック、ページレイアウト、テーマは異なっていました。これらのサイトは明らかに関連しているように見えます。これらのサイトを作成し、後に改ざんしてテレグラムチャンネルで自慢する行為を行ったのが、攻撃者自身かどうかは証明するのが難しいですが、非常に可能性が高いと考えられます。
攻撃者:./BRILLIANT
攻撃者:./BRILLIANT 次に./BRILLIANTという名前のTAの活動を調べると、この人物は229のユニークなIPアドレスと61のASNにまたがる1,112のユニークなドメインを標的にしていることがわかりました。./BRILLIANTは、*.web.ugm.ac.id上の多数の個々のブログをホストする単一のアプリ内で脆弱性を発見した可能性が高いと思われます。
Successful attacks were highly concentrated on a single ASN
表面上は、./BRILLIANTは700以上のウェブサイトを侵害したように見えますが、おそらく現実には、1つのウェブサイトを攻撃し、そのアクセスを利用して多くの個々のブログを操作したと想定されます。まさに1対多の侵害に成功している例です。
攻撃者:AnonCyber504_ID
このハクティビスト集団は、偽のウェブサイトやブログだけでなく、正規のビジネスウェブサイトも標的にしています。攻撃者AnonCyber504_IDは、37のユニークなIPアドレスと16のASNにまたがる60のユニークなドメインを標的にしました。AnonCyber504の標的の46%は、あるホスティングプロバイダーのASN内にあり、多くは正規のビジネスに属しているようです。
Message left by AnonCyber504 on legitimate business websites
我々が調査した改ざんされたサイトの中には、フォーチュン500に属する企業のものはありませんでしたが、重要なのは、ハクティビストやその他の攻撃者が、大きなサイトであれ小さなサイトであれ、政府機関であれ民間企業であれ、無差別に標的にしているということです。
結論
これまでにも何度か耳にしたことがあるかもしれませんが、ハクティビストによる一対多の攻撃からウェブサイトを守るにはどうすればよいのでしょうか?
多要素認証
ウェブリソースや管理パネルへのアクセス権を持つ全てのアカウントに多要素認証を強制することを確実にしてください。
エンドポイント保護
6ヶ月前に停滞したエンドポイント保護のプロジェクトを思い出してください。それを再開し、優先事項にする時が来ました。これにより、将来的にセキュリティの負担を大幅に軽減できます。
パッチ管理
パッチ管理は感謝されることもなく永遠に続く作業ですが、非常に重要です。これらの一対多の攻撃がどのように行われているか考えてみてください。良いプログラムを構築する時間を取ってください。長い目で見れば、自分自身に感謝することでしょう。
ウェブアプリケーションとAPIの保護
以前にも触れましたが、パッチを当てるのは難しいです。しかし、DDoS保護、APIセキュリティ、ボット管理を備えたクラウド提供型の優れたウェブアプリケーションファイアウォール(WAF)を活用すると、脆弱性が発見されてからパッチが配布されるまでの間、仮想パッチングのような機能を使って保護されていると安心できます。
全てのサイトを保護する
多くの成熟した組織ではこれらのセーフガードが既に導入されていますが、最近のハクティビストによる活動は、あなたの「王冠の宝石」サイトだけでなく、全てのウェブ資産を保護することの重要性を強調しています。
ユーザー教育
これらの一対多の侵害は、フィッシング攻撃から始まっている可能性が高いと思われます。チームがなぜこれらのセキュリティコントロールが必要なのかを理解するように時間をかけてください。ここで重要なのは、タイムリーで関連性があり、魅力的な内容を提供することです。
Edgiobは、受賞歴のあるウェブアプリケーションとAPI保護(WAAP)ソリューションや専門エクスパートによる支援を行なっております。お困りの際には、お気軽にご連絡ください。
エルサレム・ポストのような大手メディアのサイトが攻撃されることが多く報道されますが、私たちが注目しているのは、目立たないターゲットに対する一対多のサイト改ざんです。「一対多」とは、一つのリソースを狙って多数のウェブサイトを侵害する攻撃のこと。多くの攻撃は、中東紛争に関連すると主張する単一のIPアドレスから発信されています。これは、脅威行為者(TA)が単一の脆弱なリソースやアプリケーションを利用して、そのプロキシやサーバーにあるサイトを操作しているという仮説につながります。こうした攻撃の多くは、ホスティングプロバイダーを利用しています。インターネット全体が彼らの標的となっているため、潜在的なターゲットは誰もが含まれます。
Threat actor CYBER ERROR SYSTEM flexes after several site defacements, all on a single IP
過去2週間にわたり、ハッカーフォーラムで公表されたサイト改ざんを分析しました。例えば、ハクティビストによって報告された4,069件のサイト改ざん攻撃の中で、3,480のユニークなドメインが標的とされましたが、それらはたった1,426のユニークなIPアドレスに限られていました。さらに、同じターゲットリストに関連するユニークなASN(Autonomous System Numbers)は271に過ぎませんでした。
これらの統計は、ハクティビストたちが狙うターゲットの種類を明らかにしています。もし自分のサイトが危険にさらされているかどうか疑問に思っているなら、答えは「はい」です。トラフィックの少ないサイトでも、ハクティビズムの名の下に攻撃者が旗を立てる機会を狙っています。個々のTAの動機は一様ではありませんが、多くは自分たちの成功を祝う仲間たちの前で信用を得たり、プライドを示したりすることに関心があるようです。以下に、我々の仮説を裏付ける例をいくつか挙げます。
攻撃者:SanRei
SanReiという名前のTAは、23のユニークなIPアドレスと15のASNにまたがる69のユニークなドメインを標的にしました。SanReiのターゲットの72%は、特定のホスティングプロバイダーに関連していました。これは、彼らが特定のホスティングプロバイダーの脆弱性を利用している可能性が高いことを示唆しています。
我々が分析した9つのドメインでは、いくつかのサイトが同じテキストやコピーを含んでいましたが、グラフィック、ページレイアウト、テーマは異なっていました。これらのサイトは明らかに関連しているように見えます。これらのサイトを作成し、後に改ざんしてテレグラムチャンネルで自慢する行為を行ったのが、攻撃者自身かどうかは証明するのが難しいですが、非常に可能性が高いと考えられます。
攻撃者:./BRILLIANT
攻撃者:./BRILLIANT 次に./BRILLIANTという名前のTAの活動を調べると、この人物は229のユニークなIPアドレスと61のASNにまたがる1,112のユニークなドメインを標的にしていることがわかりました。./BRILLIANTは、*.web.ugm.ac.id上の多数の個々のブログをホストする単一のアプリ内で脆弱性を発見した可能性が高いと思われます。
Successful attacks were highly concentrated on a single ASN
表面上は、./BRILLIANTは700以上のウェブサイトを侵害したように見えますが、おそらく現実には、1つのウェブサイトを攻撃し、そのアクセスを利用して多くの個々のブログを操作したと想定されます。まさに1対多の侵害に成功している例です。
攻撃者:AnonCyber504_ID
このハクティビスト集団は、偽のウェブサイトやブログだけでなく、正規のビジネスウェブサイトも標的にしています。攻撃者AnonCyber504_IDは、37のユニークなIPアドレスと16のASNにまたがる60のユニークなドメインを標的にしました。AnonCyber504の標的の46%は、あるホスティングプロバイダーのASN内にあり、多くは正規のビジネスに属しているようです。
我々が調査した改ざんされたサイトの中には、フォーチュン500に属する企業のものはありませんでしたが、重要なのは、ハクティビストやその他の攻撃者が、大きなサイトであれ小さなサイトであれ、政府機関であれ民間企業であれ、無差別に標的にしているということです。
結論
これまでにも何度か耳にしたことがあるかもしれませんが、ハクティビストによる一対多の攻撃からウェブサイトを守るにはどうすればよいのでしょうか?
多要素認証
ウェブリソースや管理パネルへのアクセス権を持つ全てのアカウントに多要素認証を強制することを確実にしてください。
エンドポイント保護
6ヶ月前に停滞したエンドポイント保護のプロジェクトを思い出してください。それを再開し、優先事項にする時が来ました。これにより、将来的にセキュリティの負担を大幅に軽減できます。
パッチ管理
パッチ管理は感謝されることもなく永遠に続く作業ですが、非常に重要です。これらの一対多の攻撃がどのように行われているか考えてみてください。良いプログラムを構築する時間を取ってください。長い目で見れば、自分自身に感謝することでしょう。
ウェブアプリケーションとAPIの保護
以前にも触れましたが、パッチを当てるのは難しいです。しかし、DDoS保護、APIセキュリティ、ボット管理を備えたクラウド提供型の優れたウェブアプリケーションファイアウォール(WAF)を活用すると、脆弱性が発見されてからパッチが配布されるまでの間、仮想パッチングのような機能を使って保護されていると安心できます。
全てのサイトを保護する
多くの成熟した組織ではこれらのセーフガードが既に導入されていますが、最近のハクティビストによる活動は、あなたの「王冠の宝石」サイトだけでなく、全てのウェブ資産を保護することの重要性を強調しています。
ユーザー教育
これらの一対多の侵害は、フィッシング攻撃から始まっている可能性が高いと思われます。チームがなぜこれらのセキュリティコントロールが必要なのかを理解するように時間をかけてください。ここで重要なのは、タイムリーで関連性があり、魅力的な内容を提供することです。
Edgiobは、受賞歴のあるウェブアプリケーションとAPI保護(WAAP)ソリューションや専門エクスパートによる支援を行なっております。お困りの際には、お気軽にご連絡ください。
