Last Updated on 2024-02-01 05:12 by 荒木 啓介
最近、RIPE(Réseaux IP Européens Network Coordination Centre)のアカウントが侵害され、その結果盗まれたネットワークオペレーターの認証情報がダークウェブで販売されていることが発覚しました。RIPEは、中東の各国、およびヨーロッパとアフリカの一部の国々のIPアドレスとその所有者のデータベースを管理しています。攻撃者は、被害者が特権アクセスを持つ他のアプリケーションやサービスの探索にこれらの侵害された認証情報を使用しています。
Resecurityによる2024年第1四半期の監視活動では、716のRIPE NCC顧客アカウントが侵害され、ダークウェブ上でその認証情報が漏洩していることが特定されました。これらの組織には、イランの科学研究機関、サウジアラビアに拠点を置くICT技術プロバイダー、イラクの政府機関、バーレーンの非営利インターネットエクスチェンジが含まれています。さらに、APNIC、AFRINIC、LACNICなどの他の地域ネットワークを含む合計1,572の顧客アカウントが、Redline、Vidar、Lumma、Azorult、Taurusなどの有名なパスワードスティーラーによるマルウェア活動の結果として侵害されました。
この問題は、ネットワークエンジニア、ISP/テレコムエンジニア、データセンターテクニシャン、アウトソーシング会社が特に標的にされています。RIPEは最大のレジストリであるため、被害者のプールが最大であることが理由です。また、この事件は、RIPE NCCポータルのようなサービスの中央集権化を利用しています。企業は、BGPやRPKIなどの重要なサービスを中央集権化し、アウトソースすることができますが、リスクを完全にアウトソースすることはできません。企業はこれを認識し、適切な管理を実施する必要があります。
IDC META(中東、トルコ、アフリカ)によると、中東では最近、マルウェアによるサイバー攻撃が急増しています。IDCの2024年のセキュリティ調査によると、META地域のCISOの65%以上がマルウェアの増加を報告しており、フィッシング攻撃、認証情報の漏洩、ソーシャルエンジニアリングが挙げられています。
【ニュース解説】
最近、RIPE(Réseaux IP Européens Network Coordination Centre)のアカウントが侵害され、その結果盗まれたネットワークオペレーターの認証情報がダークウェブで販売されていることが発覚しました。RIPEは、中東、ヨーロッパ、アフリカの一部の国々のIPアドレスとその所有者のデータベースを管理しており、このデータベースへのアクセス権を持つアカウントが攻撃者によって悪用されています。
この問題の発覚は、セキュリティ企業Resecurityによる監視活動の結果であり、716のRIPE NCC顧客アカウントが侵害され、その認証情報がダークウェブ上で漏洩していることが特定されました。侵害されたアカウントは、イランの科学研究機関、サウジアラビアのICT技術プロバイダー、イラクの政府機関、バーレーンの非営利インターネットエクスチェンジなど、多岐にわたります。
攻撃者は、侵害された認証情報を使用して、被害者が特権アクセスを持つ他のアプリケーションやサービスを探索し、さらなる攻撃の足がかりとしています。このような攻撃は、ネットワークエンジニア、ISP/テレコムエンジニア、データセンターテクニシャン、アウトソーシング会社などを対象としており、特にこれらの職種の人々が高いリスクにさらされています。
この事件は、企業が自社のセキュリティ対策を見直すきっかけとなるべきです。特に、BGPやRPKIなどの重要なサービスを中央集権化し、アウトソースする場合、リスクを完全にアウトソースすることはできないため、適切な管理とセキュリティ対策の実施が求められます。また、強力な認証方法の導入や、特権ユーザーのセキュリティリスクに対する意識の向上も重要です。
このような認証情報の漏洩は、フィッシング攻撃、認証情報の漏洩、ソーシャルエンジニアリングなど、さまざまなサイバー攻撃の原因となり得ます。したがって、企業はセキュリティ対策を強化し、定期的な監視と評価を行うことで、これらのリスクを最小限に抑える必要があります。
