2016/04/22

バングラデシュ中央銀行のハッキングから得られる教訓

2016 年 4 月 22 日 MARC LALIBERTE 著

3 月初めに、米国連邦準備銀行が管理するバングラデシュ中央銀行の口座から 8 千万ドルがハッキングされるという事件が発生しました。初期段階の調査で、SWIFT(国際銀行間金融通信協会)の支払処理ネットワークの盗難された認証情報が使用されて、ハッキングが見つかるまでに十億ドル近くが不正送金されようとしていたことがわかりました。SWIFT は、銀行間の送金に広く使用されているメッセージ処理ネットワークです。各金融機関に SWIFT ハードウェアがオンプレミスで配備され、中央のデータセンターに IP ネットワークインフラストラクチャを使用して接続されます。

調査担当チームが今月、この攻撃を成功させてしまった原因と考えられる、いくつかのセキュリティ上の不備について話し合いました。その結果、バングラデシュ中央銀行では安価な無人スイッチが内部ネットワークで使用されていて、さらに悪いことに、ファイアウォールがまったく導入されていなかったことがわかりました。SWIFT ハードウェアは別室に設置されていましたが、建物全体のネットワークの他の機器から 10 ドルの中古のスイッチで分離されていただけでした。

この攻撃の背景などの詳細は完全には解明されていませんが、以上の事実だけでも、この攻撃が成功した理由の一端がうかがえます。ネットワークセグメンテーションが適切でなければ、攻撃者は、誰にも邪魔されることも検出されることもなく、ホスト間を横方向に移動できます。1 つのホストの攻撃が成功すれば、フィッシング攻撃や感染した USB ドライブを使って、同じネットワーク上の SWIFT システムに簡単に侵入できたはずです。

同行のネットワークセキュリティの完全な不備がコスト削減あるいは単なる知識不足のどちらによるものだったのかは不明ですが、いずれにしても、この事件は、重要なネットワークセキュリティのいくつかの基本を見直す良い機会になるはずです。ネットワーク管理者は、VLAN あるいは物理的に異なる配線のどちらを使用する場合も必ず、通常のワークステーションとは異なるネットワークに重要なシステムを配置するようにします。また、ファイアウォールを使用してそれらのネットワークのセグメンテーションやネットワークに侵入するトラフィックの検査を実施するだけでなく、UTM アプライアンスも利用してセグメント間のトラフィックもスキャンできるようにします。ファイアウォールが正しく実装されてさえいたならば、バングラデシュ中央銀行は、8 千万ドルを失わずにすんだだけでなく、攻撃の詳細を把握して犯人を特定し、再発防止策を見つけることもできたでしょう。 – Marc Laliberte