最近話題になっているKADOKAWAの件で話を進めます。ランサムウェアによるサイバー攻撃で想像を超えるほどの被害を受け、復旧作業が今も現在進行中で実施されている状況だと思います。関係する技術者の方々は、われわれ利用者へのサービスを復旧するため、日々奮闘されていることに敬意を抱いておりますが、くれぐれも、お身体にも気をつけていただければと願っております。(この件とは、全然違うところでですけど、過去にシステムの保守・運用経験があり、多くのトラブルを経験してきたので、その状況が想像できるので、自分事として考えて、思い出してしまうので、とてもつらい😞)
犯行声明に出てくる技術的な部分
犯行グループの声明の一部にシステムの構成について、次のようにふれています。「大きなKADOKAWAのインフラストラクチャは、例えば、eSXIやV-sphereのようなグローバルコントロールポイントを通じて接続された別々のネットワークでした。」とのコメントで、このことからVMwareのコントローラを乗っ取り、複数のネットワークがそれぞれつながれていて、それが対象になったことが読み取れます。
OSINT調査対象
この被害にあった状況について、おそらく犯行グループは、攻撃前にKADOKAWAに対してOSINT(オープンソースインテリジェンス)を実施して、そこで取得した情報を分析して侵入方法を検討し、攻撃を試みたと察します。その観点からネット情報(技術情報サイトでのお披露目、関係しそうなベンダの導入実績、各種技術者の採用情報など)を自分なりに探ってみました。そうすると、思いのほか、ここまで公開されていたのかと思えるほどKADOKAWAのシステムはオープンで、その内部が見えて来ました。(公開時期によっては、過去のシステムの情報かもしれませんが)
情報ソースについて
それぞれのソースについては、ここでリンクを貼るのは控えますが、それぞれのキーワードで探せると思います。あとは、おそらくパブリッククラウドであると考えられるKADOKAWAの子会社であるKADOKAWA Connected社のサイトの記事やPR情報なども参考にしました。
フロント構成(パブリッククラウド)
ニコ生フロント構成はフロントnode.js+expressからバックのkubernetesのマイクロサービスに中継しているような構成で、それがAWSで動いており、バック(プライベートクラウド)と連携しているような記事を見つけました。(ここは被害にあっていなかったようです。)
バック構成(プライベートクラウド)
VMware vSphereを利用した仮想基盤で構築されている。また、最近ではOpenStackへの切り替えも進行していた模様です。OSはWindows以外にもUbuntuを利用しているようですね。そして、データーベースはOracle社製となっているようです。公表されている攻撃で、システムの異常を検知してシステムの電源をオフにしても自動で起動されたと言うのがあるけどは、それは、VMwareのvCenterが乗っ取られたんだと想像できます。
インフラ構成
ネットワーク装置(CISCO社製)、無線LANシステム(HP社Aruba)、ファイアウォール(Fortinet製)とありました。また、SMBやNFSを利用したファイル共有を行なっているという記事(技術者採用情報)も見つけました。ここでシステムのログイン情報なども含めて、KADOKAWA全体の社内情報を取得されたんじゃ無いかと想像します。
ざっと、1時間程度ネットを調べただけでも、ここまで調査することができたわけですけど、だからといって、今回のような攻撃が簡単にできるわけではありません。
考察まとめ
まずをもって、この攻撃は、高度で大規模すぎて、今回クラッキングしてきたグループはかなりハイレベルな人たちで、複数人が実施していて、おそらくですけど、偶然にスキャンして侵入したサイトがKADOKAWAであったのでは無くて、最初からKADOKAWAを狙って、かなりの時間をかけて、ウェブの情報を中心とした公開情報を調べ上げ、調べたシステム構成の脆弱性から何度も侵入して、さらに内部の細かい構成や運用状況を細かく調べ、綿密な実行計画の下、攻撃を実行したのではないかと僕は思います。
侵入について(ここからOSINTの話から外れます)
ちょっと気になるのは、システム構成上のパプリッククラウドへの侵入経路がオフィスのネットワーク側からだったのか、商用サービス側からだったのかがとても興味があるんだけど、どちらか現時点からは検討もつかないですね。(でも情報を取得すれば、どちらからでも侵入は可能なわけで)
〈侵入経路〉
僕が想像する侵入経路ですけど、システムの脆弱性で最近注目されているのは、このシステム構成で言うと、Fortinet製のFortiGate、VMwareのvCenterの脆弱性が有名なので、ちょっとそのあたりのアップデートを情報システムの担当者が実施できていなかったのかなぁとか思ってます。僕は、VPN装置からの侵入が1番☝️可能性が高いのかなと思っています。そして次々と内部のサービスやソフトウェアの脆弱性を突いていったのではないかと思ってます。
〈他の可能性〉
VPN装置からの攻撃の可能性が高いとした理由ですけど、公開された統計的な理由以外でですけど、その他の可能性として、(犯行声明があったとしても)内部犯罪の可能性があるんですけど、最近、あっちこっちの会社でランサムウェアの被害が多発しているわけで、なんと無くですけど、悪い人が内部にいる会社がそんなにたくさんあるんかなと思いますし、他の会社と同じように、内部犯罪ではなく外部(そういった組織)からの攻撃かなと思っています。そしてもう一点、標的型の攻撃(Web、メールなど)をきっかけ(上に書いている直接KADOKAWAを狙ったとの考え)とした攻撃も、最近のWindows Defenderの機能やその他のウィルス対策をしていれば防御できそうなので、ちょっと可能性が低いのかなと思っています。
〈不明点〉
では、VPN装置の場合、侵入経路のIPアドレスはどうやって調べた(OSINTした)のか、受信したメールとかで調べたのかなぁ?。1番重要なところとかがよくわかって無くて😅、、、。
〈最後に〉
ちょっとまとめてみたけど、だいぶ矛盾点だらけですね😅。今、時点での自分の考察はこんなところです🧐。今後もいろいろとわかったり、思いつたら追記する予定です。