【天下布武!】名前を奪いに来た転校生
202 HelloKitty×暴露
「二〇二二年の主流になっとる、二重脅迫型の身代金要求プログラムの手口を編み出したのは、Maze乱波。活動時期は二〇一九年一一月から二〇二〇年五月。一段階目は、暗号化。復号する見返りとして、身代金を要求する。二段回目は、窃取情報の暴露」
「やで、身代金を支払って解決するんやね」
「寝とるん? 解決しいへんて。身代金を支払っても、復号出来る保証はあらへん。復号出来たとしても、窃取されたデータが暴露されるリスクは残り続けるやろ」
「あ……そうやね。リスクは残り続ける」
データ復旧にだけ気を取られ、バックアップをしっかり取っていれば、被害は無いのだと思い違いをしていた。
「暴露リスクについては、HelloKitty乱波の事案がわかりやすいわ。HelloKitty乱波が標的にしたのは、コメ合衆国SonicWall屋製の汎用型トンネル、SMA100シリーズを使っとるところ。SQLインジェクション不具合CVE-2019-7481やCVE-2021-20016を使って、認証を回避して侵入する。中に入りさえすれば、データは取り放題になる。つまり、認証情報の窃取も可能ということ。正規の手順で認証して入れば、堂々とデータを窃取し続けることが出来る。ちなみに、侵害の有無は、通行履歴から管理人室へのリクエストを検索し、その履歴の前で/__api__/v1/logon要求が成功しとるかを見ればわかる。要求が存在せんかったら異常や」
「そもそも、SQLインジェクションを許容しとるトンネルがおかしいね」
認証には、マイナンバーとパスワードを使う。 SQLインジェクションとは、例えばパスワード記入欄に'or'1'=1 を入力することで、認証されたものとして通過させる手法。
正常なシステムでは、'や;等の記号を、別の文字列へ置換する。エスケープという処理。しなければ、先程の例ではpassword=''or'1'=1 が判定条件になり、or'1'=1を成立させてしまう。これでは認証の体を成せない。
「そう。そんな物を完成品として流通させることが、そもそも異常。それはさておき、これから紹介するのは、こういう不具合に起因し引き起こされた事案」
――― 資料始
二〇二一年一月。
HelloKitty乱波の攻撃を初確認。
二〇二一年二月。
ペーランド共和国のCDPR屋を攻撃。ゲームの設計図や社内文書を窃取。
二〇二一年二月九日。
身代金要求に対し、CDPR屋側が交渉しないと声明を発表。
ルシア帝国で窃取データの競売開始。
二〇二一年二月一〇日。
データが本物であると証明するため、窃取した開発データの一部と開発者向けのテストコードを公開。
――― 資料終
「未リリースゲームの設計図の開始価格は一百万ドル、即決価格は七百万ドルが設定されとったね。ゲームの開発データに関心を持つ層、例えばゲームマニアやとハックして、ジェイルブレイク出来るようになる。競合他社なら自社ゲームの品質向上に活用出来る。乱破の目的は金銭。需要があるデータを切り売りすれば金になる。売却益だけやなくて、企業価値を下げることでも、利益を得ることが出来る。ズル出来るゲームなんて、面白くないって感じるユーザは離れるし、データ流出した事実は、投資家の信頼に影響する」
「エグいね」
「一段階目の脅迫に応じるか否かを問わず、乱波は困らん。二段階目の暴露リスクが残り続ける以上、被害に遭ったら、乱波を壊滅させて、資産を押収せん限り、脅威は無くならんちゅうこと。バックアップから復元出来るで問題無いって、高を括って強気に出とると、痛い目に遭うよ」
「リークサイトと、競売の併用か……乱波は闇市の使い方、上手いね」
「奪ったデータをどう使えば金になるか。そんなことも知らんコンサル屋の、机上空論が、糞の役にも立たんってわかるやろ」
「やで、身代金を支払って解決するんやね」
「寝とるん? 解決しいへんて。身代金を支払っても、復号出来る保証はあらへん。復号出来たとしても、窃取されたデータが暴露されるリスクは残り続けるやろ」
「あ……そうやね。リスクは残り続ける」
データ復旧にだけ気を取られ、バックアップをしっかり取っていれば、被害は無いのだと思い違いをしていた。
「暴露リスクについては、HelloKitty乱波の事案がわかりやすいわ。HelloKitty乱波が標的にしたのは、コメ合衆国SonicWall屋製の汎用型トンネル、SMA100シリーズを使っとるところ。SQLインジェクション不具合CVE-2019-7481やCVE-2021-20016を使って、認証を回避して侵入する。中に入りさえすれば、データは取り放題になる。つまり、認証情報の窃取も可能ということ。正規の手順で認証して入れば、堂々とデータを窃取し続けることが出来る。ちなみに、侵害の有無は、通行履歴から管理人室へのリクエストを検索し、その履歴の前で/__api__/v1/logon要求が成功しとるかを見ればわかる。要求が存在せんかったら異常や」
「そもそも、SQLインジェクションを許容しとるトンネルがおかしいね」
認証には、マイナンバーとパスワードを使う。 SQLインジェクションとは、例えばパスワード記入欄に'or'1'=1 を入力することで、認証されたものとして通過させる手法。
正常なシステムでは、'や;等の記号を、別の文字列へ置換する。エスケープという処理。しなければ、先程の例ではpassword=''or'1'=1 が判定条件になり、or'1'=1を成立させてしまう。これでは認証の体を成せない。
「そう。そんな物を完成品として流通させることが、そもそも異常。それはさておき、これから紹介するのは、こういう不具合に起因し引き起こされた事案」
――― 資料始
二〇二一年一月。
HelloKitty乱波の攻撃を初確認。
二〇二一年二月。
ペーランド共和国のCDPR屋を攻撃。ゲームの設計図や社内文書を窃取。
二〇二一年二月九日。
身代金要求に対し、CDPR屋側が交渉しないと声明を発表。
ルシア帝国で窃取データの競売開始。
二〇二一年二月一〇日。
データが本物であると証明するため、窃取した開発データの一部と開発者向けのテストコードを公開。
――― 資料終
「未リリースゲームの設計図の開始価格は一百万ドル、即決価格は七百万ドルが設定されとったね。ゲームの開発データに関心を持つ層、例えばゲームマニアやとハックして、ジェイルブレイク出来るようになる。競合他社なら自社ゲームの品質向上に活用出来る。乱破の目的は金銭。需要があるデータを切り売りすれば金になる。売却益だけやなくて、企業価値を下げることでも、利益を得ることが出来る。ズル出来るゲームなんて、面白くないって感じるユーザは離れるし、データ流出した事実は、投資家の信頼に影響する」
「エグいね」
「一段階目の脅迫に応じるか否かを問わず、乱波は困らん。二段階目の暴露リスクが残り続ける以上、被害に遭ったら、乱波を壊滅させて、資産を押収せん限り、脅威は無くならんちゅうこと。バックアップから復元出来るで問題無いって、高を括って強気に出とると、痛い目に遭うよ」
「リークサイトと、競売の併用か……乱波は闇市の使い方、上手いね」
「奪ったデータをどう使えば金になるか。そんなことも知らんコンサル屋の、机上空論が、糞の役にも立たんってわかるやろ」
「SF」の人気作品
書籍化作品
-
-
969
-
-
70810
-
-
141
-
-
0
-
-
23252
-
-
140
-
-
4112
-
-
63
-
-
353
コメント