ビジネスマンは要注意・・・Darkhotelに気を付けろ !


皆さん、「Darkhotel(ダークホテル)」と言う言葉を聞いた事はありますか ?


一瞬、今、世間を騒がせている「ブラック企業」のホテル版かと思った方も居ると思いますが、そうではありません。


「Darkhotel」とは、ホテル内で提供しているインターネットを狙った「マルウェア(malware)」の総称です。


「はぁ ? 何のこっちゃ ・・・普通のマルウェアと何が違うの ? 」と思われるかもしれません。


普通、「マルウェア」と言うと、ウィルスを仕込んだメール添付ファイルを開いたり、あるいは不正サイトにアクセスしたりする事で感染したりする、悪意を持ったソフトウェアを意味します。


マルウェア = ウィルス」と思っているかもしれませんが、正確には、ちょっと違います。「マルウェア」を正確に表すと、下図のようになります。



マルウェアとは、ウィルスやワーム、そしてトロイの木馬等、「悪意を持つソフトウェア」の総称です。そして、それぞれ、次のような特徴を持ちます。


●ウィルス :プログラムの一部を書き換えて、自己増殖するマルウェアで、単体のプログラムとしては存在できず、病気のウィルス同様、宿主が必要で、自己増殖する。
●ワーム :ウィスル同様、自身を複製して増殖するが、単独で存在可能な点が、ウィルスと異なる。
トロイの木馬 :普通のプログラムを装ってPC内部に潜入し、外部からの命令で、侵入したPCを操作する。
スパイウェア :本来、マルウェアには含まれない。PC内部に潜入し、主に情報収集だけを行う。自己増殖はしない。



また、ご存知だとは思いますが、「マルウェア(malware)」と言う言葉は、悪意のあるソフトウェアやプログラミングコードの総称で、悪意(malicious)とソフトウェア(software)をつなげた造語です。

-----------------------------------------------------

さて、そして今回紹介する「Darkhotel」ですが、この言葉は、特定のマルウェアを指す言葉ではなく、2014年に、ロシア(モスクワ)に本社を置く、コンピュータセキュリティ会社である「カスペルスキー」社が、ホテルのインターネット接続システムに対して行われていた攻撃手法を、「Darkhotel」と命名したのが始まりと言われています。


また、この攻撃は、アジアの多数の有名ホテルにおいて、7年間もの間、密かに行われ続け、さらに、攻撃対象は、主に日本人であることが判明したそうです。


そして、カスペルスキー社が更に調査した所、解析されたマルウェアのコードから、攻撃者が韓国語を話す人物であることが特定され、かつ余りにも高度な攻撃であることから、国家の関与が考えられるとも指摘しているそうです。


つまり、カスペルスキー社は、断定は避けていますが、韓国が、国を挙げて、この「Darkhotel」攻撃を仕掛けていたとも取れる指摘しているようです。


そこで、今回、「Darkhotel」攻撃に関して、次のような内容を紹介したいと思います。


●Darkhotelの攻撃方法
●Darkhotel攻撃の実例
●防止方法の紹介


それでは今回も宜しくお願いします。

-----------------------------------------------------

■Darkhotelの攻撃方法


今回紹介する「Darkhotel」攻撃は、前述の通り、「標的型(APT:Advanced Persistent Threat)攻撃」の一種類と位置付けられています。


APT攻撃とは、不特定多数に拡散して害を与える一般的なウィルスや、やみくもにインターネット上の機器を攻撃するのと異なり、特定の組織に侵入して内部データを持ち出したり、改ざんしたりするために、様々な攻撃手法を駆使します。


そして、APT攻撃は、通常、次のような4つのフェーズ(段階)で攻撃を仕掛けて来ます。


●第1フェーズ:初期侵入

ターゲット組織に対して、外部から侵入できるセキュリティ上の弱点を探して組織に侵入します。弱点が見つからなければ、関連会社、あるいは取引先等を洗出し、セキュリティの弱い組織に侵入し、ターゲット組織宛のメール情報を収集した後、侵入先社員を装い、ターゲット先の組織に、ウィルスに感染させるための添付ファイルを送り付け感染させます。近頃では、「水飲み場攻撃」と言う攻撃も行います。この攻撃では、ターゲット組織の社員がアクセスしそうなWebサイトを推定し、事前に該当Webサイトを改ざんし、ウィルスを仕掛けておく攻撃です。


●第2フェーズ:攻撃基盤構築

ターゲット組織に侵入すると、今後は、攻撃基盤構築のため、ネットワークやサーバー等、各種インフラへのアクセスするための情報を密かに収集します。情報収集のため、感染先PCに調査用ツールをインストールし、遠隔操作を行って、侵入が露見しないように、少しずつ、長期間に渡り情報を収集し続けます。


●第3フェーズ:内部侵入・調査

外部からインストールした情報収集ツールを遠隔操作して、攻撃を開始までの間、重要情報の保管場所、アクセス方法、そしてアクセスパスワード等の情報を盗み出し続けます。攻撃を開始するまで、何年も掛けて、情報収取を行うケースもあります。


●第4フェーズ:目的遂行

攻撃を開始するために十分な情報が収集できた時点で、ようやく攻撃を開始します。攻撃は、とにかく目立たない様に、通常通りの時と場所を選んでアクセスします。目的ファイルにアクセスする事が、当然なアカウントで、かつ当然なPCを経由して攻撃を仕掛けます。一度に大量のデータを外部に送信すると検知されやすいので、ファイルを分割して、少しずつ、時間を空けて外部に送り続けます。そして、送信処理が終了した時点で、攻撃手段として用いたPCやサーバーから、通信ログを消し去り、かつ攻撃に使用したツールも消し去ることで、侵入、および攻撃の痕跡も消し去ります。

-----------------------------------------------------

上記が、「APT攻撃」の攻撃手法ですが・・・どうですか ? このような犯罪組織に狙われたら、もう逃れようが無いと思いませんか ?


弊社の過去ブログでも、「APT攻撃」に関しては、攻撃方法の進化の過程や攻撃手法、それと、今後の心構えを紹介しました。


★過去ブログ:進化する標的型攻撃 〜 狙われたら、もうお終いなのか ?


「 大企業は、犯罪組織に狙われて大変だな〜 」等と、のん気に構えているアナタ ! 狙われているのは、大企業でも、その足場として、貴方の会社が利用されている可能性もあります。


貴方の会社を経由して、取引先企業に、ウィルスに感染させるためのメールが送信されている可能性もあるのです。


近頃では、大企業のセキュリティは、かなり強化されていますので、直接、ターゲット組織は狙わずに、セキュリティのレベルが低い、取引先である中小企業を狙う攻撃が増えています。


犯罪者のターゲットは大企業とは思わずに、注意する必要があります、

-----------------------------------------------------


さて、上記で「APT攻撃」の手法を紹介しましたが、それでは「Darkhotel」の攻撃方法は、どうなっているのでしょうか ?


一般企業におけるLAN環境は、通常は、左の画像の様に、外部ネットワークと社内ネットワークの2種類となっています。


外部と内部の境界にはファイヤーウォールを設置して、ここで外部からの攻撃をブロックする仕組みとなっています。


しかし、これがホテルとなると、ちょっと構成が異なります。簡単に言ってしまうと、社内ネットワークが2つ存在するような形になります。










上図の様に、客室部分が、「ゲストネットワーク」と言う独立したネットワークで管理されるようになるので、合計3個のネットワーク構成になります。


前述の通り、社内もゲストも、外部のインターネットとの接続には、ファイヤーウォールを経由するので、セキュリティのチェックは厳しく行われます。


しかし、ゲストと社内の間には、ファイヤーウォールのような高度なセキュリティは設定しないので、ゲスト/社内間のセキュリティは甘くなってしまいます。


また、ホテルの場合、客室でインターネットを使用する場合、客室案内に、LAN接続用のID/パスワードが記載されていますので、誰でも、ダイレクトに外部インターネットに接続可能です。


このような状況では、ゲスト側から社内ネットワークに侵入し、社内サーバーにマルウェアを仕込んでおけば、それ以降、客室から外部インターネットにアクセスしようとした際に、接続PCをマルウェアに感染させる事が可能になります。


事実、社内側のサーバーにマルウェアを仕込み、客室でPCを使ってインターネットにアクセスしようとしただけで、簡単にマルウェア感染した例も報告されているようです。


次章では、前述のカスペルスキー社が把握した攻撃事例を紹介します。

-----------------------------------------------------

■Darkhotel攻撃の実例


前章で紹介した通り、今回の「Darkhotel」攻撃は、カスペルスキー社の調査では、客室側から社内ネットワークに侵入し、社内で管理しているサーバーに、マルウェアを仕込んだ事が判明している様です。


ホテル名は公表していませんが、攻撃方法は、次の通りだそうです。














上図の画像は、ホテル側が、社内サーバーで管理していた日本のアニメ作品ですが、このアニメを見る事で、次のような形でマルウェアに感染してしまうそうです。


【 攻撃手順 】
・上記アニメ(海賊版)を、圧縮ファイルとしてサーバー設置する
・このサーバーに、アニメを解凍するためのツールも設置する(上図「AxDecrypt.exe」と言うプログラム)
・そして、この解凍ツールの中にマルウェアを仕込んでおく
・アニメ見たさに、解凍ツールを実行すると、PCがマルウェアに感染する

-----------------------------------------------------

そして、今回、PCを感染させた「マルウェア」は、「P2P(Peer to Peer)」と言う技術を用いたマルウェアだったそうです。


P2P」とは、複数のPC間で、ネットワーク通信技術を用いて、ファイル共有を行う仕組みです。「Peer(対等)」の者同士が通信を行うことから、「P2P(Peer to Peer)」と命名された通信プロトコル(手段)です。


この「P2P」の技術は、インターネットの世界では、使い古された古い技術で、もう数10年前から利用されてきたテクノロジーです。


考え方はシンプルなので、インターネットが普及した当時は、かなり使われた技術なのですが、技術の実装には、高度なプログラミング技術が必要となります。


このため、前述の通り、カスペルスキー社も、この「Darkhotel」攻撃に関しては、「高度な技術なので国家(韓国)が関係している。」と指摘します。


さらに、調査の結果、今回は、先程の「P2P」技術を使った「BitTorrent(ビットトレント)」と言うソフトウェアが使われた事まで判明しています。


この「BitTorrent」と言うソフトウェアは、アメリカの「ブラム・コーエン(Bram Cohen)」と言うプログラマーが開発したソフトウェアで、この「ブラム・コーエン」氏は、かつて「BitTorrent」社のCEOを務めていました。


ちょっと話は脱線しますが、「ブラム・コーエン」氏は、5歳で「BASIC」プログラミングを覚えた、俗に言う「天才」と言われる人物で、現在は、新しいビットコインの開発を手掛けていると言う情報が伝わって来ています。(現在は「Chia Network」という会社を設立)


さて、話を「Darkhotel」攻撃に戻すと、攻撃者は、先のアニメの解凍ツールに、この「BitTorrent」の仕組みを取り入れたマルウェアを仕込み、アニメを解凍するためにツールを起動することで、宿泊者のPCに「BitTorrent」をインストールするそうです。


その後、宿泊客が会社に帰り、マルウェアに感染したPCを社内ネットワークに接続すると、犯罪者は、「BitTorrent」を用いて、感染したPCを遠隔操作して、前章で紹介した攻撃を行います。


前章では、第1フェーズから第4フェーズまでの攻撃方法を紹介しましたが、既に、PCを感染させることには成功しているので、ここから第2フェーズ以降の攻撃を行う事になります。


さらに、上記攻撃方法以外にも、様々な攻撃を実行している様です。


例えば、ホテルのシステムやネットワークをマルウェアに感染させ、ターゲットとする滞在者が持参したノートパソコンなどでホテルのWi-Fiに接続すると、「グーグル・ツールバー」や「アドビ・フラッシュ」といった有名な実在ソフトウェアの更新(アップデート)を装った画面を表示してダウンロードを促し、マルウェアをインストールさせる攻撃なども実行されていたそうです。


そして、この「Darkhotel」攻撃に関しては、アジアの高級ホテルを舞台に、宿泊客に攻撃を仕掛けていたので、企業の経営層や幹部層を狙った攻撃とされています。


また、今回の「Darkhotel」攻撃では、何故か、ターゲットにする宿泊客を事前に決定し、なおかつ、その宿泊客が、いつホテルにチェックインするのかまでも、事前に把握していたフシがあると報告されています。


このため、ホテルが提供するネットワークに接続した際には、接続したPCが、ターゲットにした企業のPCか否かをチェックし、ターゲット企業のPCにのみ、マルウェアを感染させていたケースもあった様です。


これまでにも、かの半島の国は、日本の技術を盗用し、それを自国の技術と吹聴して経済を発展させてきた過去がありますので、カスペルスキー社の調査報告は、正しいのではないかと思われます。

-----------------------------------------------------

■防止方法の紹介


カスペルスキー社の報告では、アジアの高級ホテルでマルウェアに感染したPCの件数は、数千台にも昇ると指摘されています。


また、感染件数の多い国の上位3カ国は、次の通りと報告されています。

1位:日本
2位:台湾
3位:中国


普段でも、「野良Wi-Fi」と呼ばれている、誰も管理していない「無線LAN」を使うとマルウェアに感染すると言われていますが、ホテルが提供する「Wi-Fi」も、迂闊に接続してしまうと、マルウェアに感染する可能性が高くなってきていると考えるべきだと思います。


それでは、今後、どのような対応を取れば良いのかを簡単に紹介したいと思います。


スマートフォンテザリングを利用する

テザリング」とは、スマートフォンのネットワークを利用して、PCをインターネット接続するサービスです。利用にあたっては別途契約が必要な場合がありますが、「Darkhotel」攻撃によるマルウェア感染の心配はありません


●モバイルWi-Fiルーターを利用する

「モバイルWi-Fiルーター」や「ポケットWi-Fi」と言う言葉を聞いた事はありませんか ?


無線LANを使う場合、無線の開通工事を行う必要がありますが、この「モバイルWi-Fiルーター」は、初期設定は必要ですが、工事の必要はありません。


上記の「テザリング」の場合、スマートフォンが「モバイルWi-Fiルーター」と同じ位置付けになりますが、スマートフォンと同様、単体ではインターネットに接続できない機器を、インターネットに接続するための機器の事です。


通常、スマートフォンを用いる場合を「テザリング」と言い、専用機を用いる場合を「モバイルWi-Fiルーター」と呼び分けています。


それなら「スマートフォンテザリングで良いのでは ?」となりますが、専用機の場合、次のメリットがあるとされています。


・バッテリーで長時間稼働可能(スマートフォンの場合、バッテリーの消費が激しい)
・初期設定さえ行えば機器を接続するだけで直ぐに使用可能


VPNを利用する


少し難しいですが、通常のインターネット接続は、「HTTP接続」と呼ばれる接続方法を用いています。


今お使いのWebブラウザのアドレスバーを見て下さい。接続先URLの先頭4文字が「http://www〜」となっている場合、該当のWebサイトには、「HTTP接続」で接続している事になります。


そして、この「HTTP接続」の場合、通信データは暗号化されておらず、通信を途中でハッキングする事が出来れば、データとしてやり取りしている内容を覗き見る事が可能となっています。


このため、例えば、ネットショッピングを行うWebサイトでは、カード決済を行うページだけは、データを暗号化する「SSL接続」を使っています。


この場合、接続先URLの先頭5桁が「HTTPS」となります。


SSL」とは、「Secure Socket Layer」の略語で、データを送受信する一対の機器間で通信を暗号化し、中継装置などネットワーク上の他の機器による成りすましやデータの盗み見、あるいは改竄などを防ぐ通信手順となっています。


そして、同じ様に、通信を暗号化する方法としては、「VPN(Virtual Private Network:仮想プライベートネットワーク)」と言う技術があります。


SSL」と「VPN」、どちらもデータを暗号化できるのですが、ちょっと仕組みが異なります。


SSL」の場合、暗号キーを用いてデータを暗号化しますが、「VPN」の場合は、回線自体を暗号化します。


「う〜ん・・・何だか良く解かんないな〜」となりますが、要は、次のよう感じです。

・「SSL」:全てが暗号化
・「VPN」:VPN回線を使っている一部が暗号化(通信部分のみ暗号化)


そして「SSL接続」は、インターネット利用者は、使用の有無を指定出来ません。Webサイトの作成側で、使用の有無を判断する事になります。


しかし、「VPN接続」は、上記の通り、インターネットの回線部分になりますので、専用業者と契約すれば、利用者が「VPN接続」の使用の有無を判断する事が可能になります。


このため、「Darkhotel」攻撃を回避する場合、インターネット利用者側で、NTT、au、あるいはSoftBank等の通信業者と「VPN接続」の契約を独自に行うか、あるいは個人向けの「VPN接続」用のソフトウェアを購入して、自身でPCやスマートフォンにインストールする事になります。


個人向けの「VPN接続」用のソフトウェアとしては、海外メーカーですが「Hotspot Shield」社のソフトウェアが、古くから有名らしく、日本では、「ソースネクスト」社が、ライセンスを買い取って販売している様です。














このソフトウェアは、別に「Darkhotel」攻撃回避用に販売されている訳ではありません。


通常の無線LAN全てを暗号化するので、個人が自宅で、このソフトウェアを導入したPCでインターネットに接続した場合、国内プロバイダさえも通信内容を見ることが不可能になる様です。


何とも凄いソフトウェアがあるようですが、外出先で、前述の「Wi-Fi接続」をする時に、「モバイルWi-Fiルーター」を使えない人は、このようなソフトウェアは、必須になると思います。


-----------------------------------------------------


今回は、「ビジネスマンは要注意・・・Darkhotelに気を付けろ !」と題して、ホテルの宿泊客を狙った標的型攻撃ウィルスに関して、次の内容を紹介しましたが、如何でしたか ?

●攻撃フェーズ
●Darkhotelの仕組み
●防止方法の紹介


「Darkhotel」に関しては、特に、アジア、それも日本人を標的にした攻撃が多いと言うのが気になる所ではあります。


今回は、ホテルでの感染例を取り上げたのですが、「Wi-Fi利用によるマルウェア感染」に関しては、ホテルに限った話ではありません。


ブログ本文内でも触れましたが、「野良Wi-Fi」は、以前から「要注意」と言うよりも、絶対に使ってはダメと言われ続けています。


今後も、街中に溢れる「無料Wi-Fi」への接続は、注意した方が良いと思います。


私は、外出先で「Wi-Fi」を使う場合は、スマートフォンの「テザリング」を使っていますが、「テザリング」を使う場合、やはり通信量が気になってしまいます。


今回は、余り触れませんでしたが、スマートフォンのアプリで、データ通信を暗号化するツールが、AndroidでもiOSでも数多く提供されています。


通信量が気になる場合、お使いのスマートフォンのキャリアが提供する「Wi-Fiスポット」を活用するか、あるいは、この暗号化ツールをインストールしてから「無料Wi-Fiスポット」に接続する等の、対応をした方が良いと思います。


また、過去にホテルのWi-Fiを利用してソフトの更新などを行った覚えがある方は、今すぐに、セキュリティ対策ソフトの定義を最新にした上で、PCをフルスキャンして下さい。


ひょっとしたら、貴方のPCが、他のIT機器を攻撃する際の「足場」として使われているかもしれません。


それでは次回も宜しくお願いします。

以上

【画像・情報提供先】
Wikipedia(http://ja.wikipedia.org/)
シマンテック(https://japan.norton.com/)
・WIRED(https://wired.jp/)
・「ポケットWi-Fi」はワイモバイルの登録商標です。
Kaspersky Lab社(http://www.kaspersky.co.jp/)


【株式会社 エム・システム】
本      社  :〒124-0023 東京都葛飾東新小岩8-5-5 5F
           TEL : 03-5671-2360 / FAX : 03-5671-2361
盛岡事業所  :〒020-0022 岩手県盛岡市大通3-2-8 3F
           TEL : 019-656-1530 / FAX : 019-656-1531
E-mail    : info@msystm.co.jp 
URL     : http://msystm.co.jp/
        : http://msystm.co.jp/excel_top.html
ブログ       : http://d.hatena.ne.jp/msystem/ 
Facebook   : http://www.facebook.com/msysteminc