HOME >> お知らせ一覧 >> お知らせ

お知らせ

ホテル宿泊者を狙った「ダークホテル APT」について

平素は、弊社のホテルゲストインターネットサービスをご利用、ご検討いただきありがとうございます。

さて、昨今、ホテル様よりご心配のお問い合わせを頂いております、カスペルスキー社が発表した「ダークホテル」について、現段階での弊社の見解を掲載させていただきます。

まず、「ダークホテル」とは、マルウェアをゲストのPCに「キー・ストローク・ロガー」などの悪意のあるコードをダウンロードさせ、パスワードや重要なファイルを、予め攻撃者が用意したサーバーに送り、情報を不正取得するというものです。

この攻撃自体は、“Tapaoux”、 “Pioneer”、 “Karba”、 “Nemim”など、別名でも既に存在する手法です。

このマルウェアをダウンロードするサイトに導く環境として、ホテルのインターネットを利用していることから、「ダークホテル」と名付けられております。

カスペルスキー社によると、手法は以下の流れとなります。

  1. 事前に宿泊者の情報を入手(ホテルネットワークに侵入)
  2. ゲストがホテルインターネットに接続
  3. Room#/Lastnameで認証 *ここでゲスト端末を特定
  4. 標的のゲストに対し、ポップアップで、ソフトウェアアッデート(Google、Flash等)を促す。
  5. ダウンロードした段階でマルウェアに感染
  6. キーストロークロガーなどで、パスワードなどの情報を不正取得

また、マルウェアのダウンロードは、特定サイトへ誘導する以外に、P2Pサービスで、日本のコミックなどになりすまし、900MBほどのファイルをダウンロードさせるという手法も使われています。この場合は、特定ゲストを狙った攻撃手法ではございません。

弊社が導入及び運用管理させて頂いておりますHSIAサービスに関して、一般的には、以下の通り対応しております。個別に関しては、セキュリティ上の理由から、それぞれのホテル様とお打ち合わせさせていただきます。

  1. ホテルゲートウェイならび、各種ゲートウェイサーバーのセキュリティパッチおよびファームウェアは、適宜アップデートされております。
  2. ホテルシステムには、辞書攻撃にも対応した堅牢なパスワードが設定されております。
  3. ホテルシステムに、外部よりアクセスできる場所は、限定されており、それ以外からはアクセスできません。
  4. 各部屋、各アクセスポイントは、VLANにより近隣の不正サーバーなどにアクセスできません。
  5. 不正に設置されたDHCPサーバーもフロアスイッチで遮断しております。
  6. アプリケーションサーバーにより、P2P利用およびSpywareの攻撃はモニタリングされております。

上記の標準対応と、各ベンダーの調べから、ダークホテルにより汚染されている可能性は非常に低いと考えております。今後も、システムに関与するベンダーをはじめ、弊社のパートナーと連携をとり、情報のアップデート及び、更なるセキュリティ対策の向上を図って参ります。

今後ともご支援のほど、よろしくお願い申しあげます。



敬具

ドットコミュニケーション株式会社

2014/11/18