ケーススタディ // 政府セキュリティ
ヨーロッパ政府のデジタルインフラストラクチャに関する3段階の被動型OSINT調査により、数千件の漏洩した資格情報、システムの重大な露出、および法執行機関および連邦機関を対象としている継続的なキャンペーンが確認されました。
主要なヨーロッパ諸国における13の政府機関ドメインにわたる包括的なパッシブOSINT調査により、資格情報の侵害、インフラの誤設定、セキュリティベストプラクティスに違反するホスティングの決定を含む体系的なセキュリティ上の失敗が明らかになりました。調査では、3,300件以上の侵害アカウントがダークウェブのスティーラーログで積極的に取引されていること、69人の政府職員がインフォステーラー感染を確認されていること、27件の重大から高セビリティの発見(フォレンジックツールの資格情報や法執行システムのエンドポイントの暴露を含む)が確認されました。
調査は、政府のデジタルインフラの外部セキュリティポストを評価するために、完全にパッシブな調査手法を用いて開始されました。調査範囲は連邦警察機関、入国管理局、司法システムポータル、関税、州警察、連邦警察のドメインをカバーし、すべての対象システムと一切のやり取りなしに分析が行われました。
フェーズ1: クレデンシャル漏洩分析。 政府ドメインを公開されたbreach情報データベースと照合した結果、13ドメインすべてでクレデンシャルの漏洩規模が明らかになりました。回収されたクレデンシャルのパスワード強度分析により、システム全体の脆弱性が判明しました。74%以上が弱いパスワードであり、季節の語句と年号を組み合わせたパターンが一般的でした。42%の漏洩した従業員端末にはアンチウイルス保護がありませんでした。
フェーズ2: インフラストラクチャの偵察。 DNS分析、証明書の検証、およびサービスのフィンガープリント解析により、外部インフラストラクチャ全体がマッピングされました。これにより、政府の重要なシステムがランダムなプライベート顧客と混在した商用共有ホスティングプラットフォームに配置され、ネットワークの分離が一切ないことが明らかになりました。
フェーズ3: 深層偵察。 サブドメインの列挙により、すべてのターゲットで336のユニークなサブドメインが特定され、そのうち208がライブIPアドレスに解決されました。WAF(Webアプリケーションファイアウォール)の検出により、逆転したセキュリティモデルが判明しました。マーケティング用の公開サイトは保護されていましたが、運用上の重要なシステムにはWAFが設置されていませんでした。履歴URLの収集により、104,000件以上のアーカイブURLが取得され、そのうち8,500件以上が機密性の高いパターンに一致しました。
| 発見事項 | 深刻度 | 影響 |
|---|---|---|
| 13の政府ドメインで3,300件以上の侵害アカウントがアクティブなスティーラーログに含まれている | CRITICAL | 連邦システム全体でアカウント乗っ取りのリスク |
| 法医学ツールの資格情報(電話解錠/データ抽出プラットフォーム)がスティーラーログに確認され、資格情報の出現が50件確認されました | CRITICAL | 法執行機関の法医学ツールおよび捜査証拠への不正アクセス |
| 商用インフラ上にホストされた脅威インテリジェンスプラットフォームでネットワークの分離がゼロ | HIGH | 政府の脅威インテリジェンス共有プラットフォームが共有ホスティングで公開されています |
| 法執行機関のワイヤーテープ認証システムがDNS経由で公開的に解決可能 | CRITICAL | 法的監視インフラストラクチャのエンドポイントが発見可能 |
| 6地域の囚人記録が共有コンテナプラットフォームで運用されています | HIGH | コンテナエスケープにより地域間の囚人データが漏洩する可能性 |
| 連邦警察の3つの重要なサービス(メール、構成、ウェブメール)が商用共有ホスティングで運用されています | HIGH | 連邦警察のメールがランダムな民間顧客と同じサーバーにホストされています |
| 政府職員を狙った7種類の異なるインフォスティーラーマルウェアファミリーがアクティブに攻撃しています | HIGH | 洗練された多様なベクトルによる資格情報収集キャンペーン |
| 逆転したWAFの展開:マーケティングサイトは保護されていますが、運用システムは保護されていません | HIGH | 重要なシステムの保護が公開サイトよりも少ない |
インフラストラクチャのマッピングにより、6つの異なるプロバイダーにわたる14のホスティング環境が特定されました。その範囲は、適切な政府データセンターから商用の共有ホスティングまで及びます。少なくとも3つの商用ホスティングプロバイダーで重要な政府システムが運用されており、隣接するIPアドレスがランダムな民間企業に使用されていることが確認されました。これにより、機密性の高い運用に適したゼロアイソレーション環境が形成されています。
DNS分析により、サブドメイン名のパターンを通じて完全な組織構造が明らかになりました。部署名、チーム識別子、プロジェクトコードネーム、環境トポロジー(本番、ステージング、テスト、トレーニング)が抽出されました。複数機関間のアクセスパターンから、単一のプラットフォームを通じて複数の連邦機関にわたる共有セキュリティインフラストラクチャが確認されました。
完全な調査結果は、関係機関への責任ある開示に適した構造化されたインテリジェンスドキュメントにまとめられました。報告書には具体的な対策優先順位、ホスティング移行の推奨、認証情報回転の緊急性評価、および調査フェーズ別に整理された155件以上の証拠品明細が含まれています。
すべての調査結果は、完全に受動的なOSINT技術を通じて取得されました。具体的には、資格情報漏洩データベースの分析(公開ソース)、DNSレコードの列挙、証明書透過性ログの分析、サブドメインの発見、ウェブアーカイブからの履歴URL収集、WAF指紋解析、サービス識別の方法が使用されました。システムへのアクセスは行われず、脆弱性の悪用は行われず、政府インフラへのアクティブスキャンも実施されていません。
公共機関、企業、およびあらゆる規模の団体は、敵対勢力が外部攻撃面をマッピングする前にそれを理解することで利益を得ます。