5月4日の記事「公衆Wi-Fiスポットは危険がいっぱい」で少しだけ触れたダークホテル(DarkHotel)が伊勢志摩サミットで急にトレンドワードになっているので、再度取り上げてみましょう。

Darkhotelは特定のウィルスの名前ではなく、ホテル内のインターネットシステムとその顧客を狙った標的型攻撃の総称で、2014年にカスペルスキー社が命名しました。

標的型攻撃は、不特定多数に拡散して害を与える一般的なウィルスや、やみくもにインターネット上の機器を攻撃するのと異なり、特定の組織に侵入して内部のデータを持ち出したり、改竄するために、様々な攻撃手法を用いて執拗に攻撃を繰り返して組織内部に侵入します。

一般的に標的型攻撃は次の4つのフェーズで実行されていくとされています。

標的型攻撃の4つのフェーズ

Ⅰ・初期侵入

Ⅱ・攻撃基盤構築

Ⅲ・内部侵入・調査

Ⅳ・目的遂行

の初期侵入のフェーズでは、外部から侵入できるセキュリティ上の弱点を探して、見つからなければ、関連会社や取引先等でセキュリティの弱いところに侵入して、ターゲットとなる組織とのメール情報などを収集して、ターゲットの社員が開かざるを得ないようなメールを作って、ウィルスを添付して送り付けます。 一台でも感染すれば、外部から侵入する経路が開きます。

外部からの侵入経路が開くと次のの攻撃基盤構築のフェーズに移り、内部のネットワーク環境、セキュリティ環境を調査するのに必要なツール類をPCにインストールして行き、さらに外部にC&C(Command & Control)サーバー(ターゲット社内に送り込んだウィルスソフトを遠隔操作するサーバー。操作者のIPアドレスを隠蔽する役割)を構築して、自分のアドレスを隠しながらターゲット社内を本格的に調査する第Ⅲフェーズに移ります。

フェーズでは、ターゲット社内に構築した基盤をベースに徹底的に社内ネットワークを調査し、重要なデータがどこにあるのか、どういう経路でアクセスして行くか、どのアカウントを使えばアクセスできるのか、そのアカウントが使われる時間や曜日、そしてそのパスワードを推測するための情報収集など、ひっそりと時間をかけて、執拗に調査をして情報を盗み出すための調査を徹底的に行います。 攻撃者のアジトを捜索したら、攻撃者が作ったターゲット環境のネットワーク構成図の方が、実際の社内にあるネットワーク構成図より良くできていたという笑えない話があるほど、彼らの調査は徹底的で正確です。

目的のファイルへのアクセス方法が確認できたら、いよいよ第フェーズで外部に送り出すわけですが、とにかく、目立たないように自然なアクセスで、つまり、そのファイルにアクセスするのが当然なアカウントで、当然なPCを経由して外部に送り出すように仕組みます。 一度に大量のデータを送り出すと検知されやすいので、ファイルを分割して、少しづつ、時間を空けて送り出すようにします。 そして送り出しが完了したら、様々なPCやサーバー、セキュリティ監視装置等のログを消し去り、ツール類を消去して痕跡を消し去ってから撤収します。 立つ鳥跡を濁さず。 敵ながら天晴。 表面的には何が起きたかわかりません。

密かに行われるこの一連の作業は大企業や国家機関をターゲットにしたものだと、半年や1年という長期間に渡って調査と情報の盗み出しが行われていて、最も長いものだと2年がかりで作業が行われていたという事例が発見されています。

Darkhotelは

Darkhotelはこの標的型攻撃の手法をホテルのネットワークに応用したものと言えます。 企業ネットワークでは、大きく分ければ外部と内部の2つに分けて管理しますが、ホテルの場合は、内部が社内ネットワークとゲストネットワークに分かれるので計3つに分かれます。

一般にネットワークセキュリティは外部に厳しく、内部に甘く設計されていますから、ゲストネットワークと社内ネットワークの境界のセキュリティは、外部との境界に比べて厳しく考慮されていないことがあります。 客商売である以上、ゲストを性悪説で迎えるのは抵抗があるかもしれません。

そのような事情からホテルのゲストルームから社内ネットワークへの攻撃は、外部から攻撃するよりは容易であると考えられます。

ビジネスホテル等では、Wi-FiのSSIDとパスフレーズが宿泊案内に記載されていてダイレクトにインターネットに出て行くケースが多いと思いますが、歴史のあるホテルだと一旦ホテルシステムのサーバーにログインをしてからインターネットに出て行くシステムになっていることが多いと思います。 このサーバーに攻撃を仕組んでしまえば、非常に効率良くゲストの持ち込んだPCの情報を取得できるのは容易に想像がつきます。 高級なホテルであればあるほど、社会的地位の高い人が利用するので、攻撃者にとっては非常にやりがいのある環境ということになります。

ホテル内部向けのサーバーということであれば、相手にするのは多くても千人程度のため、DOS攻撃等の対策は取っていないでしょうから割と簡単に管理権限を奪って、攻撃コードを埋め込むことが可能でしょう。 特にFlashの脆弱性はクリックしなくても表示しただけで感染させることが可能ですから、更新をきちんとしていないPCは接続しただけで感染してしまいます。

更新をしているPC向けには偽のアップデート情報を表示させて、ウィルスをダウンロードさせるようにして、多くのPCを感染させて情報を抜き取ります。

このような仕組みを総じてDarkhotelと呼んでいます。

定評あるホテルだから安心ということはありません。 公衆Wi-fiよりも、個室に閉ざされている分、誰が何をしているのか解からない怖さがあります。

全ての宿泊施設が完ぺきなセキュリティ対策を取れるわけではないのですから、ホテル側のCIOがどうのこうの、対策がどうのこうのいう前に、公衆Wi-Fiを使うのと同様の自分の情報の安全を守る対策をきちんとすることが大切です。となりの部屋ではハッカーがあなたのPCがネットワークに接続するのを待ち構えているかも知れないのですから。

 

VMware Workstation 12 Player