SkidSec ハッカー集団が11月29日、テレグラム(Telegram)で韓国の公開されたプリンターを攻撃し、北朝鮮の宣伝ビラを配布するという計画を発表しました。北朝鮮の宣伝ビラとは、北朝鮮の思想についての宣伝や韓国に対する批判など、韓国を向けて作られたチラシなどのことを言います。この突然なハッキング攻撃の宣言によると、今週末に韓国の脆弱なプリンターを攻撃して、その宣伝ビラが印刷されるようにする計画に見えます。
SkidSec ハッカー集団の漏洩されたプリンターを利用した「北朝鮮の宣伝ビラ配布」攻撃の手口
Telegramで公表した攻撃の方法は、ネットワーク及びシステムセキュリティの情報収集サービス「Censys」を利用して韓国の漏洩されたインターネットプリンティングプロトコル(IPP)のHPプリンターを見つけ出して繋げ、北朝鮮の宣伝ポスターを印刷することです。
知られている韓国プリンターのハッキング及び北朝鮮の宣伝ビラを配布する方法
- Censysにアクセスします。
- 検索ボックスに ((services.software.product=JetDirect) and services.service_name=IPP) and location.country=`South Korea` を貼り付けます。
- オープンされたIPP(インターネットプリンティングプロトコル)を利用して北朝鮮の宣伝ポスターを印刷します。
彼らが公開した方法通りに「Censys」で検索をしてみると、何千件の韓国プリンターがインターネットに繋がっていることがわかります。しかし、その中で認証があるプリンターは印刷が難しいと予想されており、ただ認証のないプリンターには北朝鮮のビラが印刷されることが発生する見込みです。
さらに、このハッカー集団は今週末の間、もっとも多くのプリンターを攻撃して北朝鮮の宣伝ビラを印刷した人にモネロ仮想通貨を与える予定だとも明かしました。韓国の企業・政府機関は今週末、思いもよらないときにプリンターで北朝鮮の宣伝ビラが印刷されないようにするために早く措置を取らなければなりません。
ハッキング攻撃の予告対象のインターネットに公開された韓国のプリンターを検知
Criminal IPのIT資産検索で SkidSec ハッカー集団の攻撃手法に対応するクエリを入力すると、集団が狙う公開された韓国のプリンターデバイスを検知できます。
Search Query: HP Port: 631 country: KR
検索の結果、攻撃対象となる公開されたプリンター2千台以上が発見されました。
攻撃の対象についてより詳細に確認するために公開されたプリンターを保有するサーバーのAS Name統計を確認してみました。
要素分析に同じクエリで確認したAS Nameの統計を見ると、韓国のキャリアのkorea telecomが一番多かったです。それは、韓国の一般家庭または企業・機関でkorea telecomのIPアドレスを使っているためです。
しかし、もっと詳しく見ると、大学や企業に見えるAS Nameもけっこう見つかっていることが分かります。
公開されたプリンターの脆弱性を予防する方法
今度の SkidSec ハッカー集団の北朝鮮の宣伝ビラ配布攻撃の予告はふっと見るとあまり威嚇的だとは思われないかもしれません。しかし、こんなに公開されたプリンターデバイスによって内部の他の主要システム、サーバー、情報が流出する可能性がありますので、公開されたプリンターが発見された企業・機関ではいち早くプリンターが外部に公開されないように攻撃対象領域を点検し、措置を取らなければなりません。
外部に公開された攻撃対象領域を除去する方法は簡単です。空いているポートを閉めるか、脆弱な認証の設定を修正して外からのアクセスをブロックすることです。
関連しては 脅威インテリジェンス基盤ASMソリューションを活用した公開IT資産の検知 の投稿をご参照ください。
当レポートはサイバー脅威インテリジェンス検索エンジン「Criminal IP」のデータに基づいて作成されました。只今Criminal IPの無料アカウントを作成し、レポートに引用された検索結果の確認やより膨大な脅威インテリジェンスを自由に検索いただけます。
データの提供:Criminal IP(https://www.criminalip.io/ja)
