SumTOWN管理者からのお知らせ
こんにちは。
当パブリックCMS・SNSサイト - SumTOWNの運営と
基盤サーバー・構内LANの設計・運用・監視を担当しております
サムテックの小林です。
下記の期間に発生した一連のセキュリティインシデントおよび
その結果発生したハードウェア故障による当サイトへのアクセス障害について、以下の通り報告致します。
1. セキュリティインシデントの発生期間
2020年9月28日(月)~ 2020年11月26日(木)の間
2. インシデントの経過およびハッキング手法への対処措置
(1) 2020年9月28日(月)PM4時56分
当サーバールーム内のVDSLモデム装置において、突然通電が失われる故障が発生。
当WEBサーバーのログを解析した結果、
当モデム装置が故障した際に、中国通信業者の河南省の送信元IPアドレス(115.54.210.122)から
当WEBサーバーと同じ建物内のルータのTCP23番ポート(telnet) にアクセス侵入して
乗っ取りボット化しようとする不審な挙動が確認された。
この攻撃の試みの結果として当モデム装置の故障が発生した可能性が疑われたため、
その他疑わしいWEBサイト分析ツール・IoT機器解析ツールが使用する送信元IPアドレスと並んで
これら送信元IPアドレスからの挙動を分析し、アクセスブロックする措置を講じた。
その一方で、当WEBサーバーのTCP23番ポート(telnet) へのアクセス侵入の試みは
成功しなかったことが確認された。
その他、当WEBサーバーにおいて不正なファイル書き換えや不正なデータ挿入・ボットウイルス感染などが
行われた形跡は確認されなかった。
翌日9月29日(火)に、VDSLモデム装置を交換した結果、インターネット通信が復旧した。
(2) 2020年10月4日(日)PM12時44分~ 2020年11月26日(木)PM11時の間
11月1日(日)までの延べ11回にわたり、
中国系大手通信機器メーカーのグローバルクラウドデータセンター上の11個の送信元IPアドレスのサーバ群から
当WEBサーバーへのアクセスが確認された。
その後、11月15日(日)AM1時47分に定期メンテナンスのため
当WEBサーバーのシャットダウンと再起動を試みたところ、
サーバー前面のLEDインジケータがBIOSチェックサム障害が起きていることを示す致命的なシステム障害を起こし、
完全に起動しなくなっている事実が明るみとなった。
ハードウェアセキュリティ研究の学術文献および
昨今の米国政府機関と民間企業に対するサイバー攻撃に関するネット上の情報などを調査した結果、
本BIOSチェックサム障害は
これら11個のサーバ群が遠隔から当WEBサーバーのハードウェア構成を分析し推定した結果に基づいて、
不正なファームウェアを半導体チップに注入埋め込んで破壊されたことにより引き起こされた
ハードウェアセキュリティ侵害が原因と考えられる。
後日11月26日(木)に、起動不能に陥った当WEBサーバーと同機種の中古サーバを入手し
パーツの移植作業を行って元のハードウェア構成と同一のサーバを組み立てて交換した結果、
当WEBサーバーの起動が復旧した。
その一方で、今回も当WEBサーバーのLinuxカーネルおよび起動中サービス(アプリ)において
不正なファイル書き換えや不正なデータ挿入・マルウェア感染・ボットウイルス感染などが行われた形跡は
確認されなかった
そのため近年は、サーバマザーボード上のBIOS ROMおよび半導体チップセットに対するハードウェアハッキング手法を含め、
市販の民生用セキュリティソフトとは異なる
サイバー能力TierOne/TierTwoレベルの国家が官民研究機関に対して莫大な予算を投じて高度研究開発を進める
国防公安専用ソフトウェアのアルゴリズムに基づく非対称兵器ツール [Asymmetric arsenal tools] について
研究し調査してゆくことが必要となっている。