Case.1 生体認証制御システムへの侵入

業界: 製造業
侵入ポイント: 指紋スキャナ
見かけ上の目的: 生体認証アクセスキーの改ざん

2016年2月初旬、Darktraceはいくつかの重要拠点を抱える大手製造企業から相談を受けました。この企業は施設の物理的保護に力を入れ、特定の区域へのアクセスを制 限するため指紋スキャナを導入しました。しかし、攻撃者は既知のソフトウェア脆弱性を利用し、スキャナおよびそれに含まれる機密性のユーザー情報へのアクセスに成功しました。
この侵入は、攻撃者がネットワークを介して指紋の詳細を送受信し、この企業の施設への不正なアクセスを、望ましくない、危険性のある個人に提供することができたということを意味しています。

Darktraceの検出結果:

  • Darktraceのインストール直後に、この企業と関係のない外部のコンピューターからスキャナへの不審なTelnet接続が検出されました。
  • この外部サーバーはデフォルトの認証情報を使ってスキャナにアクセスすることに成功し、root権限を使ってCPU情報を取得しました。
  • このサーバーはその後各装置の履歴ファイルの削除を試行していました。
  • さらなる調査を行うと、Telnet 23番ポートでこのスキャナが利用できることがIPデータベースshodan.ioに記録されていることがわかりました。
指紋スキャナは高度な物理的アクセス制御装置であり、この装置の使用はこの企業が物理的資産の保護に相当な力を入れていたことを示しています。この企業はこれらの装置をITネットワークと統合し、物理的アクセス制御を効率的に管理することを実現させました。しかしそれと同時に、遠隔地の第三者が実行する高度なサイバー攻撃に対して物理的防御を侵害する新しい手段を与えてしまいました。物理的リソースとネットワークリソースの間のシナジーにより、遠隔地の攻撃者はキーボードだけで企業の設備に対して物理的にアクセスする機会を手に入れてしまったのです。
この統合により、通常のアンチマルウェアソリューションで検出できないであろう侵入が可能となりました。これらの侵入は既知の脅威データベースにリストされているどの攻撃「シグネチャ」のタイプにも結び付かないものだからです。しかし、Darktraceはこのような非従来型の脅威を検知し、異常な動作パターンについてセキュリティチームに知らせることにより、攻撃者が深刻な損害を与えるチャンスを得る前にこの企業にリアルタイムで警告することができたのです。