脅威アクターは、パスワードやユーザー名、社会保障番号、電子メール、その他様々な情報の侵害・窃取をはじめとする違法行為を行い、躍起になって人々の注目を集めようとします。もちろん脅威アクターにデータベースを窃取された場合、データベースを売りに出されたり、無料で公開される可能性がある他、攻撃者が組織を攻撃する際の足掛かりとして使用される可能性もあるため、データ侵害はセキュリティチームにとって深刻な懸念事項となります。そのような事態を想像すると、脅威アクターが「有名」な企業からデータを窃取したと犯行声明を出したときには、大きな関心と恐怖心が集まるのも何ら不思議ではありません。
しかし、はたして我々は常に脅威アクターの犯行声明を信じ、脅える必要があるのでしょうか?彼らの犯行声明は、嘘かもしれません。一般公開されているソースからスクレイピングしたデータを、あたかも秘密裏に窃取したものであるかのように語っている可能性もあります。今回のブログでは、皆さんがニュースでデータベースのダンプが窃取・流出したという見出しを目にした時に、その真偽に疑問を持ちたくなるような事例を3つご紹介します。
「狼少年」ならぬ「データベースダンプ少年」
2024年3月、脅威アクター「Ddarknotevil」は、クラウドソリューションプロバイダー「Okta」社のユーザー情報を含むデータベースを侵害したと自慢気に投稿しました。同アクターの説明によると、このデータにはOkta社の顧客サポートサービスを利用したユーザーのIDや氏名、電話番号、住所をはじめとする個人識別情報(PII)が含まれているということでした。
被害組織として名を出されたOkta社は、2023年下旬にデータ侵害を受けていたこともあり、だれもがDdarknotevilの犯行声明を信じました。しかしKELAが分析したところ、この犯行声明でなされた主張が全くの嘘偽りであることが判明しました。Ddarknotevilが公開したサンプルレコードを分析したところ、同アクターが侵害したと主張しているデータベースは2023年7月に脅威アクター「IntelBroker」が侵害したとの犯行声明を出した、国防ISACのデータベースダンプの一部であったことが判明したのです。DdarknotevilとIntelBrokerが提供したサンプルレコードの内容は同一であり、ダウンロード用データの全リストのサイズも完全に一致していました。またその後は、いうまでもなくOkta社側もDdarknotevilが公開したデータは自社のものではないこととのコメントを発表しました。DdarknotevilはIntelBrokerが侵害したデータを入手し、あたかもOkta社のもののように見せかけていただけだったのです。Ddarknotevilはアンダーグラウンドのフォーラムで782という評価スコアを獲得していましたが、そのスコアに見合うだけのスキルは持っていないようです。
こんなに巨大なデータベースを発見したぞ
皆さんは「データベースがリークされた」というニュースを聞くと、条件反射でただちに一次対応を取りたくなるかもしれません。しかしそのようなニュースを目にした後は、関係者に警告を送る前にまず混沌とした情報が整理されるのを待ち、実際の状況を確認することが重要です。2024年1月下旬には、大規模なデータベースのダンプ「MOAB(Mother of All Breaches)」がニュースの見出しを飾りました。このとき多数のメディアが、MOABを「過去に取りあげられた中で最大規模のデータリークであり、潜在的な脅威」と報道しました。それというのも、このMOABには260億件ものレコードが含まれており、その情報量は12テラバイトに相当したからです。
しかしその一方で、MOABには以下をはじめとする疑問点がいくつかありました。
- セキュリティ研究者のBob Diachenko氏と、信頼されている関係者以外の人物がMOABにアクセスしたという証拠がなかった。
- MOABはどのサイバー犯罪フォーラムにも投稿されていなかった。
- MOABに含まれていたデータの大半は、過去のデータ侵害(MySpaceのレコード3億6,000万件、Twitterのレコード2億8,100万件、Adobeのレコード1億5,300万件など)ですでに流出していたものであった。
このように不可解な点があったものの、かつてないほど膨大な人数の情報がMOABに含まれていたということは事実です。その結果、多くのCISOがMOABの存在に脅えることとなりました。
しかしこのような状況に遭遇した場合の重要なポイントは、「パニックに陥る前に、まずできる限り情報を入手する」ということです。そして実際に、そうするだけの価値があるのです。例えばMOABの場合は、その存在が発覚してから数日後に、データ侵害検索エンジンサービス「Leak-Lookup」がMOABのデータセットを保存したサーバーを所有していたこと、そしてこのサーバーの設定に不備があったことを公表しました。またその後はサーバーを適切に設定し、「MOABの漏えいは脅威アクターの犯行ではない」ととの説明を繰り返し行っていました。結局、MOABとはMother of All Breaches(すべての侵害の母)ではなく、Mother of All Blunders(すべての失敗の母)の略語だったのかもしれません。
MOABの漏えいは攻撃者が関与していなかった事例ですが、攻撃者が関与している場合でも、最初に出された犯行声明を見て我々が想定する内容が実際と異なる事例もあります。例として、2024年2月にIntelBrokerが「ロサンゼルス国際空港を侵害した」と犯行声明を出したインシデントを取りあげてみましょう。この時の犯行声明でIntelBrokerは、自家用飛行機の所有者に関する機密データを合計250万レコード分窃取したと主張していました。
しかしKELAが分析したところ、IntelBrokerが公開したデータには確かに250万行のデータが含まれていたものの、一意の電子メールアドレスを含むレコードの数は約1万6,600件であることが判明しました。つまり、IntelBrokerが当初主張していた「250万件」という数字は機密情報を含むレコードではなく、あくまでデータベースに含まれていた行の数を指していたのです。
その情報、前から知っていたよ
世間の注目を集めるようなデータベースダンプが公開された時には、公開した人物が「(過去のリークの使い回しではない)新たに窃取したデータだ」と主張していたとしても、単にスクレイピングしたデータである可能性や、一般公開されているソースから収集したデータである可能性を疑って確認することが重要となります。
例えば2023年11月には、サイバー犯罪フォーラム「BreachForums」で「USDoD」と名乗るユーザーが、12GB相当のデータベースを公開し、「このデータベースには3,500万行のデータが含まれている」と主張した事例が観察されました。しかしこのデータを確認してみると、その中身は一般公開されているLinkedInのプロファイルからスクレイピングした情報や、特定のフォーマットを使用して作成した偽の電子メールアドレスであると思われることが明らかとなりました。
スクレイパーと正規ユーザーのトラフィックを区別することは困難を極めます。そしてそのため、スクレイプされたデータの存在が長きにわたって問題となっています。2021年には、LinkedInのレコード7億件が売りに出されるというインシデントが発生しましたが、KELAが調査したところ、このデータは検索サービス企業「GrowthGenius」が提供するAPIを介して取集されたものであることが判明しました。
侵害やリークではないものの、スクレイピングされたデータダンプもリスクをもたらす可能性があり、ユーザーのプライバシー侵害、ウェブサイトやソーシャルネットワークの利用規約違反にもつながる可能性があります。
本物のデータ侵害:本当に懸念すべきデータベースダンプの特定
データベースが漏えいすると、人々は不安に駆られます。特にメディアは情報をスピーディに発信する必要があるため、データ侵害について皆さんが見聞きする情報が誇張されていることもあれば、わずか数日または数週間後に訂正されることもあるでしょう。そこで、皆さんが常に正確な最新情報を入手するためのヒントを、以下にいくつかご紹介します。
- メディアの方法を鵜呑みにしない:メディアはコンテンツに人々の注目を集めるために、派手な見出しや大きな数字を使って報道します。メディアからの情報については、ある程度は信用しながらも常に疑問の視点を持ち、場合によっては評判の良い第三者機関に情報の真偽を確認します。
- サイバー犯罪フォーラムを監視する:サイバー犯罪者は、窃取した資格情報をサイバー犯罪フォーラムで頻繁に売買しています。サイバー犯罪者の活動を常に監視することで、脅威の高まりを認識することが可能となります。
- 脅威インテリジェンスの導入:脅威インテリジェンスプラットフォームを活用することで、セキュリティチームは脅威アクターが使用している戦術・技術・手順(TTP)について、詳細情報を入手することが可能となります。それらの情報をもとに、調査すべき内容やポイントを判断することができます。