(2024/07/15: 7月5日にJAXAからプレスリリースが出ましたので情報を追記しました)
2024/07/15追記
こちら、2024/07/05にJAXAから出たプレスリリースからの追加情報です。
本記事の推測は当たっていたようで、(機種名は分かりませんが)VPN装置の脆弱性を突いて侵入してきた模様です。下記はプレスリリースから抜粋した侵害範囲になります。
- 第三者がVPN装置の脆弱性を起点にJAXAの一部のサーバ及び端末に侵入。先だって公表された脆弱性が悪用された可能性が高い。
- 侵入したサーバからさらに侵害を広げ、アカウント情報等を窃取。
- 窃取したアカウント情報等を用いて、Microsoft365に対して正規ユーザを装った不正アクセスを実施。
流出した情報は下記の模様です。
- 侵害を受けたJAXAの端末・サーバに保存されていた一部の情報(JAXA職員等の個人情報含む)
- Microsoft365上でJAXAが管理していた情報の一部(外部機関と業務を共同で実施するにあたっての情報及び個人情報)
なお、『今年に入って複数回の不正アクセスが発生していますが、これらによる情報漏洩はないことを確認しています。昨年のインシデントを含めて、これらはいずれもVPN機器を狙ったものであることを確認しています。』とありますので、相変わらずVPN機器(おそらく脆弱性)を狙った攻撃が続いているようです。VPNやネットワーク機器はこまめに脆弱性がないかをチェックし、アップデートや(EoLなどがあった場合には)リプレースを検討した方が良いですね。
概要
2023年11月29日の参院文教科学委員会で、JAXAの山川理事長が2023年夏頃にサイバー攻撃を受けて内部ネットワークに不正アクセスされていたことが判明しました。これを受けて、11月29日の内閣官房記者会見でも質問が出ています(リンク先の動画の2分38秒以降)
出典:内閣官房長官記者会見「令和5年11月29日(水)午前」2分38秒以降
この攻撃の詳細情報はあまり公表されていませんので、遅くなりましたが現時点(2023年12月26日時点)でわかっている限りの情報を纏めます。
発生日時
2023年の夏頃発生したとの情報です。被害が発覚した経緯ですが、外部機関からJAXAに対してサイバー攻撃の可能性に関する情報提供が有り、JAXA内部で調査を行ったところ業務用イントラネット管理サーバーに不正アクセスが行われた可能性が高いことを発見した、との事です。
情報提供を行った「外部機関」ですが、読売新聞オンラインの記事によると、「警察当局が今年秋に不正アクセスを感知し、JAXA側に通報した」との事です。
被害範囲等
おそらく、JAXA内部(イントラネットワーク)のActive Directory(AD)サーバに関係する機器への不正アクセスと思われます。ただしJAXAでは、当該イントラネットではロケットや衛星の運用等に関する情報は扱われてはいないとの報告を行っています。
一方で、読売新聞オンラインの記事によると、被害に遭った機器がADサーバだった事から、関係者は自体を深刻に見ている事も伺えます。
攻撃手法(TTP/IoC)など
具体的にどの様な攻撃から侵入されたか等の情報は、現時点(2023年12月26日)では公表されていません。
ただし、日経クロステックの記事によると、JAXAの報道メディア課が不正アクセス原因を「ネットワーク機器の脆弱性が悪用された可能性が高い」と述べている様です。こちらの情報に関しては、一次情報源(JAXAの報道メディア課からの情報)が見つからなかったため、確度が高いわけではありませんが、可能性としてあり得ると思われます。
外部機関(警察当局)の指摘ということは、外部当局が何らかの攻撃キャンペーンに対する注意喚起を行っていた中で発見された可能性があります。
また、産経新聞の記事によると、JAXAの通常業務用ネットワークの機器に、今年6月に脆弱性が見つかっており、これを利用した攻撃を受けた可能性があるというJAXAによる推測も紹介されています。
現時点では、2023年6月に脆弱性が見つかったネットワーク機器(仮想インフラを含む)ですと、VMWare/Cisco/ASUS/Fortinet/Zyxel製品辺りが緊急の脆弱性が出ていましたので、以下で脆弱性を紹介します(当然、これら以外の脆弱性が使用された可能性もありえます)。
Zyxelのファイアウォール・VPN製品の脆弱性
- Zyxelのファイアウォール・VPN製品に緊急の脆弱性(CVE-2023-33009, CVE-2023-33010)
- CVE-2023-33009
- CVSS
- Base Score: 9.8 Critical
- CVSS Vector: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
- Zyxel APT 4.32-5.36Patch1, USG FLEX 4.50-5.36Patch1, USG Flex50(W) 4.25-5.36Patch1, USG20(W)-VPN 4.25-5.36Patch1, VPN 4.30-5.26Patch1, ZyWALL/USG 4.25-4.73Patch1
- 認証されていない攻撃者によりDoSを仕掛けられたり任意のコードを実行させることができる可能性があります。
- CVSS
- CVE-2023-33010
- CVSS
- Base Score: 9.8 Critical
- CVSS Vector: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
- Zyxel APT 4.32-5.36Patch1, USG FLEX 4.50-5.36Patch1, USG Flex50(W) 4.25-5.36Patch1, USG20(W)-VPN 4.25-5.36Patch1, VPN 4.30-5.26Patch1, ZyWALL/USG 4.25-4.73Patch1
- 認証されていない攻撃者によりDoSを仕掛けられたり任意のコードを実行させることができる可能性があります。
- CVSS
- CVE-2023-33009
- CVE-2023-20889
VMWare製品の脆弱性
- VMware Aria Operations for Networks(旧VMware vRealize Network Insight)に深刻な脆弱性(CVE-2023-20887,CVE-2023-20888, CVE-2023-20889)
- CVE-2023-20887
- CVSS Base Score: 9.8 (Critical)
- CVSS Vector: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
- Aria Operations for Networksにはコマンドインジェクションの脆弱性が存在します。
- VMware Aria Operations for Networksにアクセスできる攻撃者はコマンドインジェクションを実行することが出来、結果としてリモートコード実行に繋がります。
- CVE-2023-20888
- CVSS Base Score: 9.1 (Critical)
- CVSS Vector: CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:C/C:H/I:H/A:H
- Aria Operations for Networksには認証されたデシリアライズの脆弱性が存在します。
- VMware Aria Operations for Networksにアクセスでき、有効な”member”ロールを持つ攻撃者は、デシリアライズ攻撃によりリモートコードが実行出来る可能性があります。
- CVE-2023-20889
- CVSS Base Score: 8.8 (Important)
- CVSS Vector: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H
- Aria Operations for Networksには情報漏えいの脆弱性が存在します。
- VMware Aria Operations for Networksにアクセスできる攻撃者はコマンドインジェクション攻撃を実行することにより、情報の漏洩に繋がります。
- CVE-2023-20887
- VMWare Toolsの脆弱性( CVE-2023-20867)
- CVE-2023-20867
- 影響を受けるバージョン:12.x.x, 11.x.x, 10.3.x
- 修正バージョン:12.2.5(Updateはこちら:VMWareのアドバイザリから)
- CVSS Base Score: 3.9 (Low)
- CVSS Vector: CVSS:3.1/AV:L/AC:H/PR:H/UI:N/S:C/C:L/I:L/A:N
- VMware Tools の認証迂回の脆弱性
- VMware Tools のvgauth モジュールに認証バイパスの脆弱性が含まれています。
- CVE-2023-20867
- VMWare vCenterに重要な脆弱性(CVE-2023-20892, CVE-2023-20893, CVE-2023-20894, CVE-2023-20895, CVE-2023-20896)
- 影響を受ける製品
- VMware vCenter Server (vCenter Server)
- VMware Cloud Foundation (Cloud Foundation)
- CVE-2023-20892
- CVSS Base Score: 8.1 (Important)
- CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:H
- ヒープオーバーフローの脆弱性
- vCenter Server には、DCERPC プロトコルの実装における初期化されていないメモリの使用によるヒープ オーバーフローの脆弱性が存在します。
- 想定される攻撃
- vCenter Server にネットワークを用いてアクセスできる悪意のある攻撃者は、この問題を悪用して、vCenter Server をホストするOS上で任意のコードを実行できる可能性があります。
- CVE-2023-20895
- CVSS Base Score: 8.1 (Important)
- CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:H
- 境界外読み込みの脆弱性
- vCenter Server には、DCERPC プロトコルの実装において境界外読み込みの脆弱性が存在します。
- 想定される攻撃
- vCenter Server にネットワークを用いてアクセスできる悪意のある攻撃者は、この問題を悪用して認証を迂回できる可能性があります。
- CVE-2023-20896
- CVSS Base Score: 5.9 (Moderate)
- CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:N/I:N/A:H
- 境界外読み込みの脆弱性
- vCenter Server には、DCERPC プロトコルの実装において境界外読み込みの脆弱性が存在します。
- 想定される攻撃
- vCenter Server へのネットワーク アクセスを持つ悪意のある攻撃者は、特定のサービス (vmcad、vmdird、および vmafdd) のDoSにつながる特別に細工されたパケットを送信することによって、境界外読み取りを誘発する可能性があります。
- CVE-2023-20893
- CVSS Base Score: 8.1 (Important)
- CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:H
- use-after-freeの脆弱性
- vCenter Server には、DCERPC プロトコルの実装においてuse-after-freeの脆弱性が存在します。
- 想定される攻撃
- vCenter Server にネットワークを用いてアクセスできる悪意のある攻撃者は、この問題を悪用して、vCenter Server をホストするOS上で任意のコードを実行できる可能性があります。
- CVE-2023-20894
- CVSS Base Score: 8.1 (Important)
- CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:H
- 境界外書き込みの脆弱性
- vCenter Server には、DCERPC プロトコルの実装において境界外書き込みの脆弱性が存在します。
- 想定される攻撃
- vCenter Server にネットワークを用いてアクセスできる悪意のある攻撃者は、この問題を悪用して、特別に細工されたメモリ不整合を引き起こすパケットを送信することにより境界外書き込みを誘発できる可能性があります。
- 影響を受ける製品
Fortinet製品の脆弱性
- Fortinet SSL-VPNに新たな脆弱性(CVE-2023-27997)
- CVE-2023-27997
- CVSS Base Score: 9.2 (Critical)
- PSIRT Advisory
- SSL VPNのPre-Authenticationにおけるヒープベースバッファーオーバーフローによるリモートからのコード実行
- ヒープベースバッファーオーバーフローの脆弱性がFortiOS/FortiProxy SSL-VPNに見つかりました。これを悪用してリモートの攻撃者は特別に細工したリクエストを通じて任意のコマンドを実行することが出来ます。Advisoryに影響を受ける製品リストが載っていますので、影響を受ける製品を使っている場合には早急にファームウェアを更新してください。
- CVE-2023-27997
- FortiNACに緊急の脆弱性(CVE-2023-33299, CVE-2023-33300)。リモートでコマンド実行可能
- CVE-2023-33299
- Fortinet PSIRT Advisory(FG-IR-23-074)
- CVSS Base Score: 9.6 Critical
- 影響を受ける製品
- FortiNAC version 9.4.0 through 9.4.2
- FortiNAC version 9.2.0 through 9.2.7
- FortiNAC version 9.1.0 through 9.1.9
- FortiNAC version 7.2.0 through 7.2.1
- FortiNAC 8.8 all versions
- FortiNAC 8.7 all versions
- FortiNAC 8.6 all versions
- FortiNAC 8.5 all versions
- FortiNAC 8.3 all versions
- FortiNAC における信頼できないデータの脆弱性 [CWE-502] がみつかりました。シリアル化解除により、認証されていないユーザーが、tcp/1050 サービスに対して特別に細工されたリクエストを介して、不正なコードまたはコマンドを実行できる可能性があります。
- CVE-2023-33330
- Fortinet PSIRT Advisory(FG-IR-23-096)
- CVSS Base Score: 4.8 Medium
- 影響を受ける製品
- FortiNAC version 9.4.0 through 9.4.3
- FortiNAC version 7.2.0 through 7.2.1
- FortiNAC におけるコマンドインジェクション脆弱性[CWE-77]が見つかりました。脆弱性のあるtcp/5555 サービスでは、特別に細工された入力フィールドにより、認証されていない攻撃者がデバイスのローカルファイルを他のディレクトリにコピーできる可能性があります。ただし、コピーされたデータにアクセスするには、攻撃者がデバイス上で十分な権限を持っている必要があります。
- CVE-2023-33299
ASUS製品(ルーター)の脆弱性
- ASUSは、複数のルーターモデルの脆弱性に対処する累積的なセキュリティアップデートを含む新しいファームウェアをリリースし、デバイスが安全になるまで直ちにアップデートするか、WANアクセスを制限するよう顧客に警告しました。
- ASUSの記事はこちらになります。
Cisco製品の脆弱性
- Cisco Secure Client Software for Windows(旧AnyConnect Secure Mobility Client)に脆弱性(CVE-2023-20178)。エクスプロイトもリリース
- CVE-2023-20178
- Priority
- High (CVSS等の情報は未公開)
- 影響を受ける製品
- Cisco AnyConnect Secure Mobility Client Software for Windows
- Cisco Secure Client Software for Windows.
- 権限昇格の可能性
- VPN接続済みの場合、Windows上の権限の低い認証済みのローカルユーザがSYSTEM権限に昇格する可能性があります
- Priority
- CVE-2023-20178
過去のJAXAへの攻撃
2016年9月~2017年4月にかけて、JAXAや三菱電機/日立製作所/大学等、国内複数の組織へのサイバー攻撃が発生しました。これに関しては、2021年に中国人民解放軍の指示を受けたとされる中国共産党の30代のエンジニアが警視庁公安部に送検されています。
まとめ
JAXAに対してのサイバー攻撃は、現時点では攻撃者、攻撃経路、被害範囲等は推測の範囲を出ていません。何らかの情報が公開された際には、本ブログも更新していこうと思います。
一方で、現時点で言えることとしては、「ネットワーク機器に関してもファームウェア等の更新をきっちりとしておきましょう」という事です。この辺は、メーカーからメールなどによる通知を待つという行為も大事ですが、積極的に攻撃や脆弱性の情報を取得しに行くという、ユーザによる行為が大事になります。その観点からも、脅威インテリジェンスに是非興味を持って頂きたいと思います。
実践的セキュリティスクール「セキュ塾」では、この記事の執筆者でもあり「OSINT実践ガイド」の著者でもある「面和毅」が主講師を務める「脅威インテリジェンスコース」の開講を予定しております。詳細が知りたい方はぜひお問い合わせください!
[参考URL等]
- 内閣官房長官記者会見「令和5年11月29日(水)午前」2分38秒以降
- 読売新聞オンライン「JAXAにサイバー攻撃か、宇宙開発の「機微」閲覧の恐れ…警察から連絡受けるまで気づかず」
- 日経クロステック/日経NETWORK「JAXAが不正アクセス受けた恐れ、ネットワーク機器の脆弱性悪用か」
- 産経新聞「サイバー攻撃のネットワークにロケット、衛星などの機微情報なし JAXA」
- CyberSecurity.com「中国軍の指示を受けJAXAなどにサイバー攻撃関与か、30代のSE逮捕」
この記事があなたのお役に立てればうれしく思います。
最後までお読みいただき、ありがとうございます。
コメント