最近、韓国のAIおよび情報化専門機関である韓国知能情報社会振興院(NIA)の管理者ページ公開事件が起こり、NIAが管理している行政安全部(Ministry of the Interior and Safety、MOIS)と外交部(Ministry of Foreign Affairs、MOFA)などの政府機関のソースコードが流出した事件が発生し、調査中です。NIAは、政府部門の情報化およびIT関連事業を担当している機関で、「セキュリティニュース」によると、外部に公開された合計9つのNIAページのうち、アカウント情報と成果物システムが接続された製品管理者ページが含まれており、深刻なセキュリティ問題につながったそうです。
現在までに調査した内容によると、管理者ページのポートがファイアウォール上に開いており、外部からのアクセスが可能な状況であることが分かりました。管理者ページの公開は、外部からの不正アクセス、ブルートフォース攻撃、マルウェア注入、DosおよびDDoS攻撃、機密情報流出、その他の脆弱性悪用の可能性を高め、深刻なセキュリティ上の脅威をもたらします。今回の記事では、脅威ハンティングツールで管理者ページ公開の深刻さを取り上げ、攻撃対象領域管理(ASM)ソリューションを利用した持続的な監視の重要性と内部サーバー公開に対する対応方法をご紹介します。
脅威ハンティングツール「Criminal IP」で確認した管理者ページ公開の状況
管理者ページが公開される原因としては、デフォルト設定の維持、誤ったファイアウォールの設定、ポート転送設定の誤り、VPNの未使用、管理者のセキュリティ意識の欠如、自動スキャンツールの不在、ソフトウェアやファームウェアのバグや脆弱性などを挙げることができます。共通して、必要性によって、あるいは誤ってポートを開き、人のミスによって放置される場合がほとんどです。脅威ハンティングツール「Criminal IP」ではbgvbv管理者ページに使用されたIPアドレスに「Admin」というタグを付与しています。Criminal IPのIT資産検索でtag: 「Admin」を検索すると、11月14日基準、全世界で合計2,149,465台の管理者サーバーが外部に公開されていることが確認できました。
Query: tag: “Admin”
想像以上に多くの管理者ページが外部に公開されていることを意味します。もう少し下にスクロールすると、最も多く「Admin」タグが付いたプロトコルとポート番号を確認することができます。
「トップポート」の結果から分かるように、管理者ページには、リモートアクセスとデータ管理、ファイル転送のプロトコルが接続されており、アクセスの利便性を高めるために管理者ページのポートを開いておく場合があります。しかし、機密性の高い内部サーバーやデータへのアクセスを許可するポートであるため、これを悪用すると深刻な情報漏洩につながる可能性があります。開いているポートのリストを見ても、標準ポート(well-known port)が全体の40%以上を占めていることから、管理者ページの隙間を探すハッカーは簡単に攻撃経路を見つけることができるでしょう。
攻撃対象領域管理ソリューション「Criminal IP ASM」で検知した管理者ページ公開
先に脅威ハンティングツール「Criminal IP」では、Adminタグを利用して全世界で公開されている管理者ページの現況を調べました。今度は、企業や公共機関で自社の管理者ページが公開されているかどうかを確認する方法をご紹介します。管理者ページが公開される根本的な原因は、開いているポートを把握できずに放置していることであり、自動化されたポートスキャンツールを使用して外部から開いているポートを検出し、セキュリティ設定を点検して不要なポートが開いているかどうかを確認する必要があります。
Criminal IP ASMは、毎日オープンポートをはじめとするIT資産のリスクを検出し、検出された内容をダッシュボードとレポートで見える化するSaaS型の攻撃対象領域管理(ASM)ソリューションです。ウェブダッシュボードは、自動検出されたIT資産とリスクの状況を一目で確認できるように構成されており、検出されたリスクは3段階(High、Medium、Low)の対応優先順位によって分類されます。
画面のリスク部分をクリックすると、リスクページに移動し、そのページには、管理者ページ公開をはじめ、データベース・内部サーバー・ファイアウォール・APIキー・リモートアクセスサービスの公開と脆弱性の現況など、多数の脅威要素が含まれ、外部から攻撃が入る可能性のあるすべてのポイントが記録されます。各リスク別にIT資産、対応優先順位、稼働中のアプリケーション、検知日とスクリーンショットが提供され、それぞれ「IPレポート」または「ドメインレポート」の詳細ボタンをクリックすると、リスクが発見されたIT資産の詳細情報と措置方法を確認することができます。リスクページ内のフィルター検索も可能ですので、危険レベルや時宜性の高い特定の問題だけを選別して、優先的に措置方法を確認することが容易になります。
以下は、管理者ページが公開されたドメインのASMレポート画面の一部です。
当ドメインは「admin」キーワードがドメインに含まれている管理者ページであり、外部に公開された内部サーバーとして「Internalサーバー」リスクが検出されました。「Internalサーバー」リスクは、内部サーバーが外部から検出されたことだけでも重要な情報とシステムが公開される可能性が高いため、Highリスクに分類されました。上部の「リスク」部分で「対応方法」をクリックするか、ASMレポートの一番下までスクロールすると、検出されたリスクがなぜ解決しなければならないのか、どのように解決すればよいのか、対策が一緒に提示されています。
対応方法として提示されたように、管理者ページを含む内部サーバーの公開問題を解決するためには、DNSレコードの再検討、ファイアウォールルールの強化、セキュリティパッチの適用が重要であり、さらに、内部サーバーのポートが外部に公開されているかどうか、継続的なセキュリティ監視体制が構築されなければなりません。
攻撃対象領域管理で防ぐソースコード流出:GitHubに公開された自社ドメインの検知
今回のNIA事件は、管理者ページ公開により、政府機関のソースコードが外部に流出したという点も話題になっています。ソースコードの流出は、脆弱性、コードに含まれる技術的なノウハウやアルゴリズム、APIキーやパスワードなどの重要情報の流出が発生する可能性があり、外部からのマルウェアやバックドアがコード内に埋め込まれる可能性もあるため、深刻なセキュリティの脅威として扱われます。特に、GitHubなどのオープンソースリポジトリに公開された企業や機関のドメインからもソースコードが流出する可能性があり、外部に言及されたドメインを把握し、直ちに検討することがソースコード流出の解決策となります。
Criminal IP ASMは外部に公開されたサーバー、内部ページ、重要な情報を総合的に検知するが、その中でGitHubに言及されたドメインを検知する機能が上記のような状況と関連があります。以下は、GitHubに言及されたドメインのASMレポート画面の一部です。
この場合、むろん問題を解決するための対応方法も一緒に提供します。GitHubに会社の資産が公開されたということは、外部からのアクセスと情報漏洩の可能性を高めるセキュリティの脅威であるため、直ちに情報を非公開に切り替える必要があり、継続的なモニタリングが必須です。
企業や公共機関で欠かせない攻撃対象領域管理
様々なセキュリティ脅威の中で、今回の記事では、管理者ページ公開とソースコード流出の事例を取り上げ、脅威ハンティングツールと攻撃対象領域管理を通じて内部サーバーの公開と情報漏洩の深刻性と解決方法をご紹介しました。しかし、その他のほとんどのセキュリティ脅威は、共通して放置された資産と脅威要素から発生します。特に、企業及び組織単位のIT環境は、1回の攻撃が致命的な被害につながる可能性が大きく、外部に公開された主要資産を把握することに限界があり、攻撃者のターゲットになりやすいです。また、セキュリティ脅威は頻繁に変化するため、1回限りの脆弱性診断だけではすべての範囲をカバーできないだけでなく、新たに生成されたリスクについて認識すらできない状況が発生します。
結論として、企業や機関は、攻撃対象領域管理(ASM)ソリューションを使用して、管理者ページのような内部サーバーの公開の有無を継続的に検出して管理する必要があります。ASMソリューションは、システムの脆弱性をリアルタイムで特定し、リスクを最小限に迎え、外部攻撃者にさらされる可能性を低減します。これにより、より効果的にセキュリティを強化し、攻撃対象領域を体系的に管理してセキュリティインシデントを防止することができます。
Criminal IP ASMの他のユースケースに関連して 公開IT資産 の検知:Criminal IP ASM活用事例(2)をご参照ください。
当レポートはサイバー脅威インテリジェンス検索エンジン「Criminal IP」のデータに基づいて作成されました。只今Criminal IPの無料アカウントを作成し、レポートに引用された検索結果の確認やより膨大な脅威インテリジェンスを自由に検索いただけます。
データの提供:Criminal IP(https://www.criminalip.io/ja)
ご参照:
