お問い合わせ
ブログ

OSINT脅威インテリジェンスを活用して内部管理システムの公開を防ぐ方法

最近、韓国のある飲食チェーンの内部管理システムがCriminal IPを通じて公開された事実が確認されました。内部からしかアクセスできないはずの管理システムが外部に公開された状況で、これはハッカーが簡単に内部システムにア 続きを読む OSINT脅威インテリジェンスを活用して内部管理システムの公開を防ぐ方法

2024/09/13

最近、韓国のある飲食チェーンの内部管理システムがCriminal IPを通じて公開された事実が確認されました。内部からしかアクセスできないはずの管理システムが外部に公開された状況で、これはハッカーが簡単に内部システムにアクセスできることを示します。今回の記事では、OSINT基盤の脅威インテリジェンスツールを活用して、内部管理システムとCCTVの公開を確認し、予防する方法をご紹介します。

脅威インテリジェンスツールで内部管理システムの公開状況を確認する

内部管理システム(ERP、CRMなど)は、企業の機密データを管理し、業務を最適化するために重要な役割を果たします。しかし、個人情報や企業の機密データを扱うため、内部システムはハッカーの主なターゲットとなっており、このようなシステムが外部に公開される場合は、ハッカーは重要な情報を盗んだり、システムを悪用して悪質なプログラムをインストールすることができます。今回発見された内部管理システムにも、売上情報と顧客の訪問状況、販売状況、その他の機密情報が多数含まれていました。

外部に公開した飲食ブランドの内部 管理システム
外部に公開した飲食ブランドの内部管理システム

それでは、なぜ上の管理システムが外部に公開されたのか確認し、脅威インテリジェンスツールで内部管理システムが公開されているかどうかを確認するクエリを調べていきます。Criminal IPで当システムのIPアドレスを検索してみると、「PLC」タグが割り当てられた12000番ポートが開いていることが確認できました。「PLC」タグとは、ON・OFFスイッチ、温度、位置、シーケンス(順序)、演算などの論理作業をプログラミング(自動化)することができる制御ソフトウェアに割り当てられたタグで、公開されたシステムが自動化された管理システムであったため、Criminal IPでPLCに分類されました。また、システムページのタイトルが「~Management System」形式で設定されていました。

PLCタグが割り当てられているポートが外部に開放されている 管理システム
PLCタグが割り当てられているポートが外部に開放されている管理システム

上記の検知結果によると、結果的に管理システムを運営するポートが開いているため、外部からのアクセスが可能になったわけです。このような場合、直ちにポートを閉じて外部アクセスを遮断しなければならないですが、発見されてから1ヶ月が経過した現在も、当サービスのポートは開いていることが確認できました。今回の事例を通じて、公開された内部管理システムを特定できるクエリを導て出せました。

tag: “PLC” title: Management System

「tag: “PLC”」と「title: Management System」をそれぞれ検索することもできますが、上記の例のようなシステムの公開を確認するために検索範囲を絞り込むことができます。titleフィルターだけを使用した場合、合計228,549個の検出結果が出ていて、「tag: “PLC”」を検索すると、6万件以上の公開したIPアドレスが検出されます。両方のクエリを組み合わせると、約54,000件以上の検索結果を確認することができます。

Criminal IPのIT資産検索で「tag: "PLC" title: Management System」を検索した結果、54,000以上のIPアドレスが外部に公開されている
Criminal IPのIT資産検索で「tag: “PLC” title: Management System」を検索した結果、54,000以上のIPアドレスが外部に公開されている

ネットワークに接続されたCCTVの公開を確認する

内部管理システムだけでなく、監視カメラも外部に公開されやすい主要な対象です。特に、ネットワークに接続されたIPカメラの場合、外部に映像が公開されたプライバシー侵害の事例がしばしば発生しています。Criminal IPでも、形成外科の監視カメラ流出中国の隠しカメラ動画のディレクトリ事例を通じて、IPカメラの流出事例を扱ったことがあります。管理システムと同様に、外部に公開された監視カメラも簡単なタグ検索で確認することができます。

tag: “IP Camera”

Criminal IPのIT資産検索で「tag: "IP Camera"」を検索した結果、1万以上のIPアドレスが外部に公開されている
Criminal IPのIT資産検索で「tag: “IP Camera”」を検索した結果、1万以上のIPアドレスが外部に公開されている

ウェブカメラや監視カメラなどに割り当てられるIPカメラタグで検索すると、合計1万台以上の外部に公開したIPカメラのサーバーを確認することができます。公開されたIPカメラの中には、システムのログインページが外部に公開されていながらエクスプロイトコードが公開された多数の脆弱性が発見されたサーバーもあり、セキュリティに非常に脆弱な状況でした。

外部に公開されたIPカメラ、システムのログインページが公開されており、多数の脆弱性が発見された
外部に公開されたIPカメラ、システムのログインページが公開されており、多数の脆弱性が発見された

このように、管理システムが外部に公開されただけでも大きなリスクととらえるべきですが、想像以上に管理者が認識していないオープンポートや脆弱性のようなサイバー脅威が脅威インテリジェンスツールでは多数発見されます。特に、今回の記事で取り上げた内部管理システムと監視カメラは攻撃者の主なターゲットとなるため、外部への公開を防ぐために定期的なネットワーク点検、ファイアウォールの設定、そして不要なポートのブロックが必須です。また、システムログをモニタリングし、疑わしい活動が検出されるとすぐに対応する体制が必要です。

Criminal IPのような脅威インテリジェンスツールは、内部管理システムと監視カメラの公開の有無をチェックするのに役立ち、攻撃対象領域管理ソリューションを通じた自動モニタリングとリスク管理も外部脅威を素早く把握するのに大きな役割を果たします。最後に、意図せずにポートが開かれたり、外部脅威が入る可能性のある経路が発見されたら、直ちに侵入経路を遮断することが重要です。

関連して「認証なし」Brickstream人数カウントシステム、撮影・設定ページが無防備に公開されているのブログをご参照ください。

当レポートはサイバー脅威インテリジェンス検索エンジン「Criminal IP」のデータに基づいて作成されました。只今Criminal IPの無料アカウントを作成し、レポートに引用された検索結果の確認やより膨大な脅威インテリジェンスを自由に検索いただけます。

データの提供:Criminal IP(https://www.criminalip.io/ja

ご参照:

https://criminalipdotcodotjp.wpcomstaging.com/2024/07/19/%e4%ba%ba%e6%95%b0%e3%82%ab%e3%82%a6%e3%83%b3%e3%83%88%e3%82%b7%e3%82%b9%e3%83%86%e3%83%a0/