ここから本文です

ロシアンハッカーが大学や米政府機関のシステムを60以上ハック

3/2(木) 12:28配信

THE ZERO/ONE

脅威情報企業「Recorded Future」によると「ラスプーチン」として知られているロシア語話者のブラックハット・ハッカーが大学や米政府機関のシステムを60以上ハックしたようだ。

我々がラスプーチンに出会ったのは2016年12月だった。この頃彼は投票装置のテストや認証を行う米国の機関の選挙援助委員会の盗まれた認証情報を販売していた。ラスプーチンはSQLインジェクションの欠陥を悪用して機密情報にアクセスし、それをサイバー犯罪者のマーケットプレイスで販売していたのだ。

Record Futureは2015年からラスプーチンを追っているが、このセキュリティ企業によると、彼は中東の政府ために働くブローカーにSQLインジェクションの詳細を売ろうとしていたようだ。ラスプーチンの犯罪フォーラムでの活動の履歴から、専門家は彼が外国政府の支援を受けている可能性を排除している。

Recorded Futureの専門家は、英国の大学10校や米国の大学25校、いくつもの米国政府機関を含む多くのラスプーチンの被害者を特定した。

このハッカーは、地方や州、連邦の組織を含む政府機関のシステムに侵入した。被害者リストには、郵便事業調整委員会や保険資源管理局、住宅都市開発省、海洋大気庁が含まれている。

SQLインジェクションの脆弱性を発見・悪用するのに使用できる無料のツールは、HavijやAshiyane SQL Scanner、SQL Exploiter Pro、SQLI Hunter、SQL Inject Me、SQLmap、SQLSentinelなどと山ほどある。

ラスプーチンは無料のSQLインンジェクションスキャナーは利用しておらず、その代わりに自身で開発したツールを使用している。

「ラスプーチンのような攻撃者の動機は金銭的な利益だ。彼は脆弱なデータベースを特定・悪用するのに独自のツールを構築する技術的な能力を持っている」と Recorded Futureが公開した分析には記されている。

SQLインジェクション脆弱性についての認識のレベルは高いものの、組織には基本的なセキュアコーディングの実践が欠けているとRecorded Futureは強調する。この脆弱性の対処には費用がかかるため、企業は予算が確保できるまで、修正活動を先延ばしにしてきたとRecorded Futureは指摘する。しかし時にはそれでは遅すぎるのだ。

「SQLインジェクション脆弱性は、最良なコーディングの実践で防止することは容易だ。この15年ほどの間に注目を浴びたデータ侵害は、政府や企業、学術機関が使用している質の低いプログラムによるウェブアプリケーションやサードパーティのソフトウェアを止めさせるのにほとんど役に立っていない」とRecorded Futureは分析する。「最も大々的に報道されたデータ侵害の一部はSQLインジェクションによるものであり、これにはHeartland Payment SystemsやHBGary Federal、Yahoo!、Linkedinなどの大企業も含まれる」
 
翻訳:編集部
原文:Russian hacker Rasputin breaches over 60 Universities and Government Agencies
※本記事は『SecurityAffairs』の許諾のもと日本向けに翻訳・編集したものです。

Security Affairs

最終更新:3/2(木) 12:33
THE ZERO/ONE