教育セクターにおけるサイバー犯罪の増加

脅威インテリジェンスアナリスト ヴィクトリア・キヴィレヴィッチ

マーケティングコンテンツマネージャー  シャロン・ビトン

この3件は、過去2か月の間に教育セクターで発生した主要なサイバー犯罪の見出しです。

大学のデータ Blackbaudへのランサムウェア攻撃により損失

カリフォルニア大学 ランサムウェア攻撃を受け身代金100万ドルを支払い

ヨーク大学 データ侵害により職員及び生徒の情報が盗まれたことを公表

これらは氷山の一角であり、この一年間でサイバー攻撃を受けた教育機関の数は増加傾向にあります。K-12 Cyber Incident Map (全米の公立幼稚園~高校で報告されたサイバーセキュリティ関連インシデントを可視化した資料)によると、2019年だけで348校がサイバー攻撃を受けています。これは米国の学校(大学を除く)のみを対象とした数値ですが、その数は今後ますます増加することが予想されます。

こういった状況から、以下の疑問が浮かび上がってきます。

  • アンダーグラウンドの脅威アクター達は、教育セクターの組織を調査し攻撃の標的とすることに関心を持っているのか?
  • 教育セクターを標的とする攻撃の種類は?
  • アンダーグラウンドのエコシステムで最近未遂に終わった攻撃は?
  • 未遂に終わった攻撃は、大学そのものを狙った標的型攻撃であったのか?それとも大学が利用するサードパーティ・プロバイダーを介してさらにその先にある組織を狙った攻撃であったのか?

我々は、このブログ全体を通じてこれらの問いに対する答えを明らかにしていきます。


大金を狙うアンダーグラウンドのサイバー犯罪者たち

地方の州立学校や大学、そしてその他教育機関は一見アンダーグラウンドの脅威アクターらにとっては価値がないように思えるかもしれません。また、モラルを重んじるタイプの脅威アクターらが教育機関を標的とする可能性は低いでしょう。実際に、大半の脅威アクターには彼らなりのモラルがあり、彼らのなかでは医療セクターを攻撃すべきではないという議論が展開されています。しかし、モラルを持たない脅威アクターらにとっては、教育機関は単なる標的の一つです。

アンダーグラウンドに存在する様々なフォーラムを覗いてみると、多くの脅威アクターらは年間収益3億ドル未満の企業や政府・教育・医療機関、その他ホテルやオンラインショップを標的とはみなしていないことがわかりました。標的を定めるにあたって彼らに共通している条件とは何でしょうか?その答えは単純であり、より多くの収益を得られるということが重要なポイントとなります。アンダーグラウンドのサイバー犯罪者達は、年間収益の低い企業や政府機関等を攻撃しても大金を得ることはできないと考え、その努力を別の組織に向けて投資しています。

多数のサイバー犯罪者はこの考えを支持しているようですが、その一方でかなりの数のサイバー犯罪者が潜在的な利益を見込んで、そして時には莫大な収益を狙って今もなお教育機関を標的に選んでいることがわかりました。次のセクションでは、様々な攻撃が展開されるなかで教育機関がどのように標的として選ばれているのか、そして被害を受けたいくつかの機関が被っている深刻な経済的損害について詳細に説明します。


教育機関に対する試みと攻撃の現状

教育機関は、その機密情報を大規模なデータベースとしてアンダーグラウンドのマーケットで販売されたり、管理者用リモートアクセスを自動マーケットで売買されるほか、ランサムウェアオペレーターに身代金交渉を迫られるなど様々な脅威や潜在的な攻撃に多数直面しています。

KELAのアナリストは、つい先週アンダーグラウンドのフォーラムで大学のデータベースが2件販売されていることを発見しました。一つはロンドン大学のキングスカレッジ、もう一つはカリフォルニア大学ロサンゼルス校(UCLA)のデータベースであり、いずれも「Neversec」と名乗る脅威アクターによって販売されていました。


我々のチームがNeversecについて簡単な調査を行った結果、彼は7月11日に同フォーラムに登録したばかりの新参者であり、過去にはドミニカ共和国やチリ、マレーシアの政府機関、そしてサウジアラビア企業のデータベースを販売していたことが判明しました。そしてこれに加え、彼がアンダーグラウンドのフォーラムで公開しているサイバー犯罪者向けの手引書2本を発見しました。そのうちの一つは、オンラインでサイバーセキュリティ研修を提供する企業「StationX」がサイバーセキュリティコースの資料及び教科書として使用しているものでした。そして前述のUCLAとキングズカレッジのデータベースについては、Neversec は「大学のシステムから直接データベースを取得することに成功した」と語っていました。

我々がこのデータベースのサンプルを入手して分析を行ったところ、いずれのデータベースにも個人の氏名、電子メールアドレス、電話番号、住所が含まれていました。そしてUCLAのレコードは1800件、キングズカレッジは720件と、データベースに含まれるレコードはいずれも少ない件数でしたが、だからといってすぐに重要な事件ではないと結論付けることはできません。攻撃を受けた大学の生徒やスタッフ、卒業生の資格情報はフィッシング攻撃に利用される可能性があるほか、脅威アクターが大学のネットワークに侵入する最初の足掛かりとなる可能性もあります。一度大学のネットワークに足を踏み入れることができれば、脅威アクター達はそれを機にネットワーク内をさらに探索し、最終的にはランサムウェアやその他のマルウェアを大学のシステム内に展開する可能性があります。

カリフォルニア大学のケースを例に取り上げてみましょう。フィッシングメール攻撃を受けた結果であるかについては明らかにされていませんが、同大学では以前、某脅威アクターに100万ドルを超える身代金を支払っています。サイバー犯罪者らも、他のビジネスと同様に何らかのチャンスを皮切りに犯罪活動を開始しますが、彼らが唯一必要とするのはその足掛かりだけです。大学の例でいえば、不正に窃取された資格情報が彼らの攻撃の足掛かりとして使われた可能性があるのです。

さらにいくつかのサイバー犯罪フォーラムを偵察したところ、「maroder 」(以前は「ailing」というハンドル名を使用)と名乗る脅威アクターが大学二校のネットワークへのアクセスを販売する投稿に遭遇しました。 maroderは、これまでに様々な組織のネットワークへのアクセスや仮想通貨取引所の資金引き出しサービス、仮想通貨取引所のダンプなどを販売していました。我々はこの脅威アクターと対話を重ねた結果、被害者がイスラエルとドイツにある主要大学であることを突き止めました。

いわゆる「アクセス」として販売される商品は、そのアクセスのレベルも商品によって異なりますが、脅威アクターらが定めるゴールに合わせて様々な活動に利用することが可能です。maroderは、前述した大学二校の「アクセス」が管理者レベルのものであるかについては確認できないものの、Citrix製機器/プラットフォームを経由して大学のネットワークにアクセスすることができるということを明確に述べています。

ロシア語からの翻訳:イスラエルとドイツの大学へのアクセスを販売。最初に販売交渉すべき相手はわからない。2大学で400ドル。


しかし、教育機関を標的とするmaroder/ailingの活動はこれにとどまりませんでした。つい先日の先週末、maroderが英国にある某学校のネットワークにCitrix製機器/プラットフォームを経由してアクセスする方法を販売していることが確認されたのです。ターゲットとなった学校の収益は1億ドル、従業員数は500名を超えるということでした。このアクセスが販売されたのはほんの数日前のことであるため、現時点では正確な被害者については不明ですが、maroderの標的の多くは教育機関であると考えられます。

前述したとおり、資格情報が漏えいした場合はより大きな攻撃に向けた足掛かりとしてその資格情報を利用される可能性があります。しかし、直接的な攻撃かサードパーティを介した攻撃かにかかわらず、攻撃者によってネットワークのサーバーにアクセスされてしまった場合、被害者はより深刻な損害を被る恐れがあります。

我々が、KELAのサイバー犯罪調査用ソリューション「DARKBEAST」を使用して、「university」という用語を含む侵害されたサーバーについての情報を簡易検索したところ、不正侵入された教育関連機関のウェブサイトへのアクセスが数十件売りだされていることを検知しました。

ここで、大学のネットワークのWebシェルを例に挙げてみましょう。下図の投稿で販売されている大学のWebシェルを脅威アクターが購入した場合、アクターは購入後すぐに大学のネットワーク内のファイルやサーバーのルートディレクトリを編集したり、大学のドメインから電子メールを送信するなど、大学に対して様々な攻撃を実行することが可能となります。このWebシェルアクセスを手に入れてしまえば、脅威アクターは様々なルートを使って攻撃を行うことが可能となるのです。

サイバー犯罪サイトで売りだされた某大学サイト用Webシェルアクセス。KELAのDARKBEASTで検知


我々は、上記以外にも大規模な攻撃を試みる一環として大学が標的にされている状況を確認しています。例えば最近もアンダーグラウンドの某有名フォーラムで、米国に拠点を置く大学のVPNアクセスを販売するとの投稿を発見しました。しかし、リストの内容を分析した結果最も注目すべきポイントとなったのは、その大学にウェブサイト・ホスティングサービスを提供している米国の有名ISP兼マネージドサービス企業へのアクセスが含まれていたことでした。我々がさらに分析を進めた結果、販売されているアクセスではこのISPにアクセスできないことが判明しましたが、もしアクセスできた場合はどうなったでしょうか?サイバー犯罪サイトで販売されている情報が、ランサムウェアやその他のマルウェアを使った攻撃やデータ窃取などに使用できるという完璧なユースケースとなったことでしょう。今回の大学へのアクセスは純粋なマーケティング目的で売りに出されていましたが、より大きな標的を攻撃するために大学を利用するという事態も多々発生しています。

さらに我々は先週、多数の大手企業と連携している米国の某大学(前述のケースとは別の大学)へのアクセスが販売されていることを発見しました。それと同時に、ロシア語のフォーラムで脅威アクター「EronM」が多岐にわたる業界の様々な組織へのアクセスを販売する投稿を発見しました。EronMは、大学だけを攻撃する場合よりも多くの利益を得るために、大規模な組織と関連のある企業へのアクセスを利用していました。そして今回の場合、アクセスを販売されている米国の大学はドメイン信頼関係で某大手日本企業にリンクされていました。つまり、信頼されているドメイン(大学)のユーザーであれば、この大手日本企業のネットワーク認証に成功する可能性があり、ひいてはサイバー犯罪者らがこのアクセスを利用して、より大きな企業のネットワークに不正侵入する可能性があったということです。

ロシア語の投稿より:「米国大学へのアクセスを販売」信頼されているドメインは5つ。 1つは企業価値3億4000万 (企業名R***、1936年創業。世界中の企業に文書作成サービス、コンサルティング、ソフトウェア及びハードウェアを提供する企業。同社の歴史、理念、地域活動、受賞歴、認証評価はここを参照)
「2兆円企業の 派生会社」企業名R ***会社-多機能デバイス、デジタルコピー機、レーザープリンター、デジタルデュプリケーター、ファックス機器、デジタルカメラ、ビデオカメラ、ディスクドライブ、集積回路及び半導体、ソフトウェアとネットワークソリューションを製造する日本企業。2011年のフォーチュングローバル500で429位
価格:1ビットコイン



重要なポイント

これまでの例で強調したとおり、大学への直接的な攻撃が必ずしも大学に対する脅威を意味するというわけではありません。むしろ、教育機関が直接的な攻撃を受けた場合でも、必ずしもその機関が真の狙いではなく、より大規模で利益率の高い攻撃の一環である可能性があります。今日、組織は自らが直接保有するネットワーク資産だけではなく、サプライチェーン全体に存在する潜在的な脅威に対しても注意を払う責任があります。時として見逃されがちですが、サプライチェーンが脅威アクターらに組織のネットワークへの理想的な侵入口を提供してしまう恐れがあるのです。教育機関が毎週のようにサイバー攻撃を受けている現状を踏まえると、多くのサイバー犯罪者らが教育機関を標的とみなしていることは明らかです。教育機関は、高度な脅威インテリジェンステクノロジーを活用して自らの資産をリアルタイムで監視し、確実にアタックサーフェスを縮小するとともに早期段階で潜在的な脅威を捉える必要があるといえるでしょう。