"BOKU"のITな日常

BOKUが勉強したり、考えたことを頭の整理を兼ねてまとめてます。

サイバー犯罪に利用される公開ツールは簡単に手にはいるのか?

f:id:arakan_no_boku:20190201155405j:plain

目次

サイバー犯罪に利用される公開ツールは簡単に手にはいるのか?

サイバー犯罪なんて、非常にコンピュータに精通した「ハッカー」などと呼ばれるような人たちでないと、そもそもできないんじゃないのか?

また、そういう犯罪に使うようなプログラムは簡単に入手できないんじゃないか。

そう思いたいのですけど、残念ながら違います。

 

ある程度の知識があれば使えるツールは存在する

もちろん、ある程度の知識は必要です。

だけど、それほど高度な専門的知識がなくても、サイバー犯罪に手をだせるツールやサービスはすでに存在しています。

その一例が、四か国共同で作成された、サイバー攻撃に利用されることの多いツールについての報告書に掲載されているものです。

www.itmedia.co.jp

取り上げられている5種類のツールを見ると・・。

 まあ、有名どころばかりです。

この報告書で、これらが取り上げられた理由が「簡単に手にいれられるうえに強力なので、重大な脅威になりえる」からだったりするのですね。

 

リモートアクセス型トロイの木馬(RAT)の「JBiFrost」

感染すると隠れて、パスワードなどの不正アクセスのための情報を収集して、攻撃者に送る働きをします。 

 

WebShellの「China Chopper」

仕込まれると、攻撃者がこのWEBShellを使って、PC上で様々な操作やコマンドの実行ができるようになってしまいます。

 

ログイン情報を盗み出すツール「Mimikatz」

メモリ上に保持されているアカウントの認証情報にアクセスし、管理者権限の取得や他のアカウントのなりすましを行います。 

 

階層移動フレームワークPowerShell Empire

ようするに攻撃用のPowerShellスクリプトを作成するフレームワークです。

この攻撃用のPowerShellスクリプトは、メモリ上でコードを実行できるので、ウイルス対策ソフト等で検出は難しくとてもやっかいな代物になります。 

 

コマンド&コントロール(C2)難読化ツール「HUC Packet Transmitter」

簡単に言えば、プロキシみたいなものです。

攻撃者が被害者に侵入した時に接続元を隠して、追跡しづらくするために使います。

 

大抵の攻撃用ツールがそろっているKali Linux

Kali Linuxという、Linuxディストリビューションがあります。

f:id:arakan_no_boku:20181020223509j:plain

これを以下からダウンロードして、インストールすれば、沢山のツールがバンドルされています。

www.kali.org

脆弱なWifiをハックしたり、DOSSQLインジェクションなどの攻撃を加えたり、アカウントをハッキングしたり、セキュリティの甘いサーバーを探し出したり・・・、まあ、大抵の攻撃用ツールはそろっています。

こちらの記事に、軽く紹介いただいているので、興味のある方はどうぞ。

sys-guard.com

  

普通のインターネットで手にいれられます

上記で紹介したものはすべて、探せば簡単にダウンロードサイトに行きつけます。

ダークウエブに行く必要はなく、普通のインターネットで十分です。

しかも、トロイの木馬「JBiFrost」なんか、条件次第では、Googleで検索結果のトップにでてきたりします。(笑)

そのサイト(英語)を見ると、平然と月額45ドル程度の利用料で販売されてます(笑)

こういう話をすると必ず、怒る人がいます。

言い分としては「そんな危険なツールの公開を放置しているのがおかしい!。徹底的に取り締まるべきだ!」って感じです。

気持ちは、すごい、わかります。

でも。

取り締まるのが100%無理なことも、同時にわかります。

インターネット上のすべてのやり取りを監視なんかできるわけはありません。

仮に、全てのサイトの内容やネット上のやり取りをすべて監視するような組織が仮にできて、そこが、表のインターネットを取り締まっても、裏に潜るだけです。

それに、システムの保守や開発・テストで絶対必要なんだけど、悪用されると、サイバー犯罪に使える可能性があるツールみたいなものも当たり前のようにあります。

これは、例えば「包丁だって凶器として使えば、人を殺せます」とか「アイスピックだっとそうです」とか「園芸用のスコップも泥棒が窓を破る道具に使えます」とかの話と同じわけです。

それを全部「道具を使えないように取り締まる」なんてしたら、無茶苦茶になります。

だから、悪意のある人間から道具をすべて取り上げるのは非現実的です。

 

本当は守りを固めるために使うべきです

それらの攻撃用ツールの本来の使い道は、守りを固めるためのテストです。

防犯でも優れた犯罪者に実際に侵入を試みてもらって、できる穴があれば教えてもらって、ふさいでいくことのが最も効果があるように、インターネットでも強力なツールを使って、攻撃側になりかわって、自分らが構築したシステムを攻撃してみるのが、一番セキュリティを強化する近道なのです。

そして、そこで見つかった穴をふさぐことで堅牢性を高めていく。

こういうテストを「ペネトレーションテスト(Penetration Test)」といいます。

ペネトレーションテストは、企業でも意識の高いところは、普通にやってます。

例えば、「ベネトレーションテスト 業者」とかでググると、やってくれる業者がズラズラでてくるくらいです。

珍しいことではありません。

もちろん、コストはかかりますし、手間もかかります。

でも、意識の高い企業はやってますし、やる企業が増えていかないと、なかなかサイバー犯罪の被害はなくならないだろうなと思うわけです。

ではでは。