「ダークホテル」の版間の差分
行16: | 行16: | ||
簡単な対策は、ホテルが提供するネットワークに接続せず、自身が用意しているモバイルルータやスマホのテザリングを利用することです。 | 簡単な対策は、ホテルが提供するネットワークに接続せず、自身が用意しているモバイルルータやスマホのテザリングを利用することです。 | ||
− | |||
== 攻撃者 == | == 攻撃者 == | ||
韓国語を話す人物とされています。そのため、韓国のスパイ活動の可能性が疑われています。 | 韓国語を話す人物とされています。そのため、韓国のスパイ活動の可能性が疑われています。 | ||
+ | == ホテルはどのように侵入されるのか == | ||
+ | シンガポールの企業 ANTlabs 社の WiFiルーター の InnGate シリーズには、CVE-2015-0932 の[[脆弱性]] がありました。InnGate は、製品名に Inn という単語が入っていることから分かる通り、ホテル向けのルーターです。このルーターには、 Wi-Fi を利用するための[[認証]]や課金システム、QoS の機能があります。 | ||
+ | |||
+ | InnGate の [[OS]] には、[[Linux]] が採用されています。ルーターで稼働するサービス(デーモン)の1つに [[rsync]] デーモンがあります。[[rsync]]は、コンピュータ同士のディレクトリ・ファイルを同期するソフトウェアです。[[rsync]] を利用する場合は、ユーザ名とパスワードが必要ですが、 InnGate のルーターでは、認証なしで接続可能で、ルートディレクトリ以下のすべてのファイルが読み書き可能でした。 | ||
+ | |||
+ | ルーターには、 PMS(Property Management System) が接続していることが多いと言われています。PMSは、ホテルが顧客情報や予約を管理するシステムです。ルーターを制御できれば、PMSのデータベースの閲覧・改ざんも可能でしょう。 | ||
== 手口 == | == 手口 == | ||
# ホテルのシステムやネットワークに侵入し、ウイルスに感染させる | # ホテルのシステムやネットワークに侵入し、ウイルスに感染させる |
2015年6月10日 (水) 18:29時点における最新版
ホテルのWi-Fiから情報を盗み取るダークホテル。 ダークホテル (Darkhotel)とは、 ホテルのシステムをウイルスに感染させ、宿泊客がホテルのWi-Fi接続したときに、ソフトウェアのアップデートを装って、宿泊客にウイルスをインストールさせ、宿泊者から機密情報を盗み出す手口です。ダークホテルに感染した端末の2/3が日本にあるとされています。
読み方
- ダークホテル
- だーくほてる
- Darkhotel
- だーくほてる
目次
概要
高級ホテルの宿泊者から機密情報を盗み取る、ダークホテルと呼ばれるAPT攻撃手口がカスペルスキーから発表されました。
ビジネスの出張で、高級ホテルに滞在中の企業幹部を標的として、4年前から行われているようです。 ダークホテルは、暗号、ゼロデイ、キーロガーを組み合わせています。
感染した端末の2/3は、日本の端末とされています。
簡単な対策は、ホテルが提供するネットワークに接続せず、自身が用意しているモバイルルータやスマホのテザリングを利用することです。
攻撃者
韓国語を話す人物とされています。そのため、韓国のスパイ活動の可能性が疑われています。
ホテルはどのように侵入されるのか
シンガポールの企業 ANTlabs 社の WiFiルーター の InnGate シリーズには、CVE-2015-0932 の脆弱性 がありました。InnGate は、製品名に Inn という単語が入っていることから分かる通り、ホテル向けのルーターです。このルーターには、 Wi-Fi を利用するための認証や課金システム、QoS の機能があります。
InnGate の OS には、Linux が採用されています。ルーターで稼働するサービス(デーモン)の1つに rsync デーモンがあります。rsyncは、コンピュータ同士のディレクトリ・ファイルを同期するソフトウェアです。rsync を利用する場合は、ユーザ名とパスワードが必要ですが、 InnGate のルーターでは、認証なしで接続可能で、ルートディレクトリ以下のすべてのファイルが読み書き可能でした。
ルーターには、 PMS(Property Management System) が接続していることが多いと言われています。PMSは、ホテルが顧客情報や予約を管理するシステムです。ルーターを制御できれば、PMSのデータベースの閲覧・改ざんも可能でしょう。
手口
- ホテルのシステムやネットワークに侵入し、ウイルスに感染させる
- 宿泊者がWi-Fi接続や有線接続した後、Adobe Flash Player や Google ツールバーなどの「ソフトウェアの更新を装った画面」を表示し、マルウェアをインストールさせる。
- 宿泊者が標的であるか判断し、機密情報を入手する
マシンにダウンロードさせたバックドアから、標的を選別し、さらに高度なツールをダウンロードするか判定します。ターゲットにカスタマイズしたキーロガーなどのマルウェアをインストールし、機密情報を入手します。
スケジュールが把握されている
企業幹部がホテルにチェックインする時間、チェックアウトする時間を攻撃者はあらかじめ、把握していると考えられています。
ホテル以外の感染経路
ダークホテルのマルウェアは、P2Pファイル共有ソフト BitTorrent のフィードに仕込まれている場合もあります。半年で、30,000回以上ダウンロードされた例もあります。例えば、日本のマンガや動画の海賊版にマルウェアが同梱されているようです。
ダークホテルに感染した端末は日本に多い
ダークホテルに感染した端末の2/3にあたる2000台あまりが日本で見つかったとされています。日本以外に、中国、台湾でも感染が確認されています。
感染しているパソコンの数の多い国は、以下の通りです。
- 日本
- 台湾
- 中国
- ロシア
- 韓国
- 香港
- インドネシア
- ドイツ
- アメリカ
- アイルランド
攻撃に気付くには
ホテルが提供している有線や無線のネットワークに接続した状態で、見の覚え無いないソフトウェアの更新画面が表示されるようなことがあれば、それは、ダークホテルの疑いがあります。
対策
アップデートが偽装されたものであるか、判断が難しいかもしれないので、ホテルの有線LANやWi-Fiに接続せず、自身が所有するモバイルルータやスマホでテザリングするのが簡単な対処法でしょう。自身でインターネット接続を用意できない場合には、ホテルのWi-Fiに接続した上で、VPN接続経由でアクセスすることで緩和可能でしょう。