ハッカーは、大企業のデータを混乱させて盗むために、エンタープライズ リソース プランニング (ERP) システムをターゲットにすることが増えています。
これは、セキュリティ企業 Digital Shadows および Onapsis のレポート (PDF) によるもので、特にハクティビストや国家支援団体が Oracle および SAP プラットフォームの欠陥を悪用しようとしていると両社は述べています。
「ERPアプリケーションは、さまざまな地域や業種のさまざまなサイバー攻撃者から積極的に狙われている」と報告書には記されている。
「ユーザー ID 管理や職務の分離などの ERP アプリケーション セキュリティの従来の制御は、攻撃者が使用する TTP を防止または検出するのに効果がありません。」
この報告書は国土安全保障省の承認を受けており、国土安全保障省は企業に対し報告書の調査結果を読んで従うよう推奨している。
ERP アプリケーションは企業から非常に多く利用されており、クラウド サービスとしてパブリック インターネットに公開されることが増えているため、これらのプラットフォームは妨害行為の標的としても、大規模なデータ盗難活動の入り口としても非常に魅力的です。
この調査によると、このため、SAP HANAおよびOracle ERPソフトウェアを標的とした公開エクスプロイトの数は過去3年間で倍増していることが明らかになりました。また、研究者らは、盗難された認証情報に対する需要も高まっており、一部のハッカーが銀行系マルウェアを転用してERPシステムのログイン情報を盗み取っていることも指摘しています。
CPU泥棒も参加
研究者らによると、仮想通貨マイナーたちもこの動きに加わろうとしているという。論文では、2017年にハッカーがWebLogicの脆弱性を利用してサーバーにマイニングコードを仕掛け、約22万6000ドル相当のモネロコインを盗んだ事件が報告されている。
「この活動がどれほど広範囲に及んでいるかは不明だが、インターネットリレーチャット(IRC)のチャンネルでSAPサーバーを利用してモネロをマイニングする可能性について議論している個人を検出した」と報告書は述べている。
2018年1月、あるIRCユーザーが「SAPサーバーはコア数が多いことで知られている」と述べ、「Sapadm」は「コンボ」として使用できる可能性があると指摘しました。「コンボ」とは、特定のサーバーへのアクセスをブルートフォース攻撃で取得できるユーザー名とパスワードの組み合わせを指します。
大したことじゃない…クレムリンのハッカーが「エアギャップネットワークに侵入」して米国の電力会社を乗っ取った
続きを読む
攻撃を防ぐために、両社は管理者に対し、アンインストールされたパッチや、ユーザーに必要以上の権限が付与される可能性のある安全でない構成などがないか、ERP アプリケーションを注意深く調べるようアドバイスしている。
このホワイトペーパーでは、管理者は使用されていないAPIや不要なインターネット接続ログインを無効にすることも推奨しています。一般的に、管理者はERPソフトウェアの攻撃対象領域を最小限に抑えるよう努めるべきです。
「異なる ERP アプリケーション間の複雑性と高度な相互接続性を考慮すると、これらの制御と推奨事項は、運用環境および非運用環境 (開発、品質保証、サンドボックス、試作) のすべてのインスタンス/アプリケーション サーバーを含む ERP アプリケーション プラットフォーム全体に適用する必要があることを強調することが非常に重要です」とレポートは結論付けています。
「1 台の QA アプリケーション サーバーの脆弱な設定により、ERP プラットフォーム全体が完全に危険にさらされる可能性があります。」®
