[The Daily Star]2024年5月20日、チッタゴン税関副長官のモハマド・ザカリア氏は、1週間前に治療のために訪れたインドのコルカタにいた。
その日の午後11時33分、誰かが自分のIDとパスワードを使ってNBRのサーバー(税関データ自動システム(ASYCUDA))にアクセスした。税関調査官の調べによると、侵入者は約30分後に再びログインし、虚偽の申告で輸入された6千万タカ相当の外国製タバコの容器の通関手続きを完了したという。
それは非常に洗練された作戦だった。
まず、機密サーバーにアクセスするために、詐欺師はザカリアの ID とパスワードを知る必要がありました。しかし、彼のセキュリティ資格情報を入手または盗んだとしても、回避する必要のある追加のセキュリティ層が 2 つあり、侵入者はその両方を回避しました。
これら 2 つのセキュリティ レイヤーの 1 つには、システムによって ID 所有者の携帯電話に自動的に送信される OTP (ワンタイム パスワード) の必須生成が含まれます。理想的には、セキュリティの脅威から防御するためのシステムの多要素認証の重要な部分である OTP がなければサーバーにアクセスできません。
しかし、デイリー・スターが入手したNBRのシステム生成OTPレポートによると、ザカリア氏はこの期間中にOTPを一切受け取っていないという。
しかし、考えてみてください。ASYCUDA のユーザー ID とパスワードはデバイス固有かつ IP 固有であるため、許可されたユーザーであっても他のデバイスや他の IP (インターネット プロトコル) を使用してシステムにアクセスすることはできません。このケースでは、ザカリアのアカウントは、別のデバイスと別の IP を使用してピロジプール地区のバンダリア郡から乗っ取られたことが、デバイスの追跡記録から明らかになっています。
税関職員は最終的に、電池会社ハムコの名義で輸入された違法タバコの流通を阻止したが、このセキュリティ違反は税関職員とNBR職員の間で警戒を強めている。
彼らはこれを「深刻な国家安全保障上の脅威」と表現した。なぜなら、このような不正アクセスは、誰でも通関手続きを回避してあらゆる種類と数の商品を輸入または輸出できることを意味するからだ。
10月22日、NBR当局は侵入の真相を究明するために7人からなる委員会を結成した。
ハムコ社は税関調査官への書面による回答で、輸入への一切の関与を否定し、誰かが同社の名前を使って貨物を持ち込んだに違いないと述べた。
デイリー・スターは同社にコメントを求めたが、連絡が取れなかった。
ITセキュリティを専門とするチCONシステム株式会社の創設者、モハマド・アズハル・ウディン氏は、許可されていないIPを通じてサーバーにアクセスできる場合、そのサーバーが侵害されていることは明らかだと語った。
「特定の時間にシステムが OTP を生成しないということは、主に内部関係者の関与を示している。しかし、このケースで実際に何が起こったか、あるいは何が起きているかは、サーバーを監査しない限りは判断できない。サーバーは通常、すべての活動の痕跡を残す。監査が早ければ早いほど、疑わしい活動を追跡しやすくなる」と、同氏はデイリー・スター紙に語った。
チッタゴン税関長のモハマド・ファイズル・ラーマン氏が率いる税関の一次捜査では、モバイルインターネットを使用してバンダリアからNBRサーバーに侵入した主犯を含む4人の関与が判明した。
この男はナライル地区出身のシェイク・シェザン(23歳)だ。彼は過去数年間、NIDサーバーや国土省のウェブポータルを含む政府サーバーから公共データを盗んだ疑いで数回逮捕されている。そのたびに、数か月以内に保釈されて刑務所から出所していた。
彼のNIDに登録されている10の携帯電話番号がすべてオフになっていることが判明したため、コメントを求めたが連絡が取れなかった。
彼はザカリアのIDとパスワードを使ってバンダリアからNBRサーバーに侵入した際、民間事業者のモバイルインターネットを利用した。
デイリー・スター紙は侵入に関与していないためオペレーターの名前は公表していないが、オペレーターは税関当局に対し、当時使われていた特定の電話番号がシェザン氏の名前とNID番号で登録されていたことを確認した。本紙はその確認書を入手している。
「過去数年間、我々はサーバーのセキュリティ確保に約30億タカを投資してきたが、輸出入データは未だに保護されていない。NBRの新会長はこの問題を深刻に受け止め、たとえ当局者であっても真犯人を特定するよう指示した。」
チッタゴン税関と関税情報局のデータによると、サイバー犯罪者がNBRのサーバーに侵入し、少なくとも48個の輸入貨物を流出させ、2019年1月から2024年9月までに少なくとも3,000個の貨物を通じて偽造輸出を行って資金洗浄を行っていたことが明らかになった。
48 個の積荷の輸入額はわずか 9 億 5,800 万タカだった。48 個の積荷のうち 12 個が押収され、申告額は 1 億 2,600 万タカだった。しかし、書類によると、税関職員が検査したところ、積荷には 12 億 4,000 万タカ (約 100 倍) 相当のタバコと酒類が含まれていたことがわかった。
税関データによれば、輸出品目の申告価格は1,218億タカで、そのうちバングラデシュに輸入されたものはなかった。
デイリー・スター紙は、これらのセキュリティ侵害に関する調査報告を21件確認した。いずれの調査でも、ギャングを追跡することはできなかった。
しかし、これらの調査により、ギャング団が少なくとも 27 人の税関職員の ID とパスワードを使用して輸出入プロセスを完了していたことが判明しました。場合によっては、異動、退職、または死亡した職員のセキュリティ認証情報が、ASYCUDA ワールドシステム と呼ばれるサーバーへのアクセスに使用されていました。
これらは、5 月 20 日の シェザン による侵入とは無関係です。
「過去数年間、我々はサーバーのセキュリティ確保に約30億タカを投資してきたが、輸出入データは未だに保護されていない。NBRの新会長はこの問題を深刻に受け止め、たとえ当局者であっても真犯人を特定するよう指示した。」
今年1月から5月までの間に、サイバー犯罪者はザカリア氏とチッタゴン税関の税務官ソニア・サルカー・リザ氏のIDとパスワードを使用してNBRサーバーに少なくとも114回侵入し、2つの別々の貨物の通関手続きを完了した。
これらすべてがシェザンと関連しているわけではないが、繰り返しになるが、ザカリア氏もソニア氏も、これら 114 件のいずれにおいても OTP を受け取っていない。
これらの貨物のうち1つはチッタゴン港に到着しており、ギャング団は港湾当局が差し止める前に6月2日に港から密輸することに成功した。その結果、そのコンテナの内容は不明だったと税関調査報告書は述べている。
税関書類によれば、この貨物はモングラ輸出加工区にあるイノックス・インダストリーズの名前で輸入された。
イノックス・インダストリーズは税関当局への書面回答で、いかなる関与も否定し、個人情報窃盗の被害者だった可能性があると述べた。同社にコメントを求めたが、連絡が取れなかった。
もう一つの積荷には、約1億4千万タカ相当の酒類約12万リットルが含まれ、9月4日に税関職員に押収された。
この事件では、ギャング団は1月14日の深夜にソニアさんのオフィスに侵入し、ソニアさんのコンピューターからサーバーに午前2時6分から午前2時17分まで3回、午後9時14分にもう1回アクセスした。税関の調査で、ソニアさんはその時間帯にオフィスにいなかったため、その時点でOTPを受け取っていなかったことが判明した。
「当時の建物の警備責任者は、誰がその時間帯に私のオフィスに入り、私のコンピューターを使用したかを知っている」とソニアさんはデイリー・スター紙に語った。
コンテナは、衣料品輸出業者であるシュプリーム・スマート・ウェア社の名義で、生地を装って中国から送られてきた。
同社は輸入への関与を否定し、一部のギャングが同社の名前を利用した可能性があると述べた。
「当時は営業もしていなかった私の会社の名前で、どうやって製品が輸入されたのかは分からない。NBR職員の中にはサイバー犯罪集団の一員で、違法な商品を流通させている人がいると思う」と、シュプリーム・スマート・ウェア社のマネージング・ディレクター、アニスール・ラーマン・シンハ氏はデイリー・スター紙に語った。
「システムには欠陥がある」
税関のIT担当者数名によると、このシステムは、互いに結び付けられた指定外のデバイスやIPからはサーバーにアクセスできないように設計されているという。また、自動生成されたOTPがなければ、誰もシステムにアクセスできない。
「残念なことに、サイバー犯罪集団が必要とする特定の時間帯に、こうしたセキュリティ層が緩んでしまうのが現状だ」と、捜査が進行中であることを理由に匿名を条件に語ったIT当局者は述べた。
NBR のプログラマーである ゴラム・サルワール はサーバーを制御し、すべての役員のユーザー ID を生成します。また、役員の役職に応じてアクセス制限を決定します。
同氏は、指定外のデバイスからサーバーにアクセスできる仕組みや、システムが特定の時間にOTPの送信を停止した理由についてはコメントを控えた。
税関の上級職員は、過去にもサーバーへの不正アクセスやセキュリティ侵害の事例を多数発見したが、シェザン氏を含む少なくとも4人に対する証拠を収集できたのは今回が初めてだと述べた。
税関職員が正式に認可されていないデバイスとIPによるASYCUDAへの侵入を検出したのも今回が初めてだ。
「しかし、これらの輸送品の最終的な受益者が誰なのかはまだ分からない」と当局者は述べた。
ASYCUDA は、国連貿易開発会議 (国連CTAD) によって開発された税関管理システムであり、現在ではアフリカとアジアを中心に 100 か国近くで使用されています。このシステムは、政府がサプライ チェーンの効率を改善し、汚職を減らし、公共収入を増やすことを支援することを目的としています。
バングラデシュは1994年に小規模なオンライン輸出入業務管理にこのシステムを導入し、2013年には国内すべての税関で導入された。
システムがセキュリティ上の脅威から確実に保護されるように、2022 年に 2 層のセキュリティ システムが導入されました。
連絡を受けたNBRメンバー(関税政策担当)のホセイン・アハメド氏は、「2022年以前は、OTPのオプションはなく、特定のデバイス用の特定のIPもありませんでした。そこで、これら2つのレイヤーを追加しました。サイバーギャングが依然としてセキュリティレイヤーを回避してサーバーに侵入できることは、システムに私たちが知らない欠陥があることを示している」と述べた。
「過去数年間、我々はサーバーのセキュリティ確保に約30億タカを投資してきたが、輸出入データは未だに保護されていない。NBRの新会長はこの問題を深刻に受け止め、たとえ当局者であっても真犯人を特定するよう指示した。」
Bangladesh News/The Daily Star 20241116
https://www.thedailystar.net/news/bangladesh/news/cybergangs-breaking-nbr-server-will-3753791
関連
