裁判行政処 電算網ハッキングシナリオ

By PLURA

司法部の電算網が北朝鮮のハッキング組織「ラザルス」と推定される集団の攻撃を受け、少なくとも17,998人の個人情報が流出しました。
内部・外部ネットワーク間の「ポート」(ネットワーク通信経路)の開放不十分なアカウント・パスワード管理などのセキュリティ脆弱性を悪用し、合計で1,014GBにおよぶ大量のデータが外部に流出したとされています。

裁判行政処 電算網ハッキング


1. 偵察(Reconnaissance)

🔍 内部・外部ネットワークの接続確認および脆弱性の把握

  • 内部ネットワークと外部ネットワークがポートを通じて自由に通信可能な構成であることを確認。
  • 内部・外部ネットワークの管理アカウントが推測しやすい初期パスワードで設定されていることを把握。

2. 初期侵入

🚨 マルウェアの配布と侵入

  • 外部ネットワーク用PC(インターネット接続用)9台を事前にハッキングしてマルウェアを設置。
  • これらのPCを中継地点として使用し、内部のスキャンサーバーにマルウェアを配布(推定80番ポート使用)。

3. 情報収集

🗄️ 電子訴訟サーバーへのアクセスおよび大量データの取得

  • ハッカーは内部スキャンサーバーとの連携プロセスを悪用して電子訴訟サーバーにアクセス。
  • PDFファイルとして保存されていた住民登録番号、診断書、婚姻関係証明書などの訴訟文書一式を入手。
  • 暗号化が施されていない住民番号などのセンシティブ情報を含む1,014GBのデータを大量に収集。

4. 情報流出

📤 外部へのデータ転送

  • スキャンサーバーが45100番ポートを通じて外部ネットワークへデータを送信するように操作。
  • 8か月間ハッキングの事実に気づかず、遅延報告が行われ、その間に大規模なデータ流出が発生。

5. 流出方法の概念図

sequenceDiagram
    participant ハッカー
    participant 外部PC as 外部ネットワークPC(インターネット用)
    participant ファイアウォール
    participant スキャンサーバー
    participant インターネットサーバー as インターネット/仮想通貨サーバー
    participant 電子訴訟サーバー

    Note over ハッカー: 1. 外部PC 9台をハッキング('21.1.7.以前)
    ハッカー->>外部PC: マルウェア設置

    Note over 外部PC, スキャンサーバー: 2. マルウェア配布(80番ポート推定)
    外部PC->>ファイアウォール: 80番ポート接続試行
    ファイアウォール-->>スキャンサーバー: マルウェア流入

    Note over スキャンサーバー, 電子訴訟サーバー: 3. 内部連携
    スキャンサーバー-->>電子訴訟サーバー: スキャンファイル転送

    Note over スキャンサーバー, 外部PC: 4. データ流出(45100番ポート推定)
    スキャンサーバー->>ファイアウォール: 45100番ポートで外部へ送信
    ファイアウォール-->>外部PC: 流出データ送信

    Note over 外部PC: 合計1,014GB流出(21.6~23.1)

📑 参考資料