情報セキュリティの選りすぐりの技術と信頼を届けます
SIPSセキュリティレポート 2021年5月21日号
***************************************************************
ロシア系ランサムウェアグループが日本企業をターゲットにした攻撃を開始
***************************************************************
今年よりSIPSではロシア系のダークサイトにも力を入れていて、今回のレポートはロシア系のハッカー
フォーラムを調査した内容についてレポートします。
5月14日ロシア系サイバー攻撃者が利用する闇サイト(ロシアハッカーフォーラム)でロシア系と想定
されるハッカーグループが、日本企業をターゲットにランサムウェアの攻撃を開始するという書込みを
確認した。
このグループは【BABUK】と呼ばれ、2021年に発見された新しいランサムウェアグループである。
特定企業をターゲットとして企業ネットワークに侵入し、企業の機密情報を搾取した上で対象の
ファイルを暗号化してしまうという方法を取っている。
主に運輸、ヘルスケア、プラスチック、電子機器製造、および農業セクターの業種をターゲットとして
いる。
今回、東京に本社を置く電動工具と農業/工業機械のメーカーである企業がそのターゲットとなった。
同社は、まだ正式に被害を発表していないが、ロシア語を使用するハッキンググループがすでにいくつ
かのデータを公開したことが分かった。
含まれているデータは、従業員の個人識別情報、製品設計図、財務データなどであり、ハッキング
グループは総0.5TBのデータを保持していると主張している。
今年4月BABUKは、米国の首都ワシントンDCにあるDC警察を狙いランサムウェアによるサイバー
攻撃を行っている。
警察のシステムに侵入しランサムウェアを感染させると、警察が所有する250GBの内部データを搾取
し、データが公開されたくなければ、400万ドルを「身代金」として支払うよう要求した。
そのデータには、内部レポート、逮捕された人物の顔写真、その他機密情報、ネットワークの共有
ドライブのデータなどが含まれていて、そのスクリーンショットが既に公開されていた。
専門家による分析では、BABUKは過去の被害者のネットワーク内部にアクセスする時、企業用
VPNの0day脆弱性を主に攻略して、攻撃を開始すると分析している。
今回日本企業をターゲットにするという内容のコメントを確認しているが、前述した企業以外にも
攻撃が発生する可能性がある。
BABUKは4月の米DC警察への攻撃終了後、ランサムウェアを通じたデータ暗号化作業を終了し、
データ公開に集中すると発表しているが、実際に新たな日本に対する攻撃が確認されたことから
今後どのような企業がBabukのターゲットにされ、搾取されたデータが公開されるか帰趨が注目され
ている。
最近の不正アクセスニュースの中で、ランサムウェアによる被害が発生した例としては、東芝テックの
欧州4拠点でのランサムウェアによる被害や小森コーポレーションの米子会社のランサムウェア被害、
メガネブランドで有名なインターメスティック社、東洋食品工業短期大学、岡野バルブ製造などが
ほぼ同時期にランサムウェアで大きな被害を受けている。
これらはBABUKとの関連性は確認されていないが、もしBABUKからの攻撃であるとしたら容赦なく
日本を攻撃してきている事になる。
もちろんランサムウェを使うサイバー犯罪グループはBABUKだけではない。
米国石油パイプラインへのサイバー攻撃のニュースは日本でも大きく取り上げられたが、この攻撃を
行ったのは【DARKSIDE】というグループで、こちらも東欧の組織であるとされている。
それ以外にも【Maze】【Conti】【REvil】【Netwalker】【DoppelPaymer】【phobos】
【GlobeImposter】【MedusaLocker】【Dragon】【Ech0raix】などと呼ばれるランサムウェアの
グループが確認されている。
初期のランサムウェアはメールにマルウェアを含むファイルを添付させたりして感染させる、無差別な
攻撃であったが、現在はターゲットを決め標的の企業の内部に侵入し機密データを搾取してから
データを暗号化し、データの復号化とデータの公開の2側面から脅迫し身代金を要求してくる。
まずは不正侵入をしてから対象ファイルを狙うため、以前のように悪性プログラムを送り込む形とは
違い一般的なアンチウイルスソフトのようなセキュリティソリューションでは検出できないことが多い。
そしてその侵入にはやはりシステムの脆弱性を利用した手法が最も多いと考えられている。
脆弱性を持つWebサーバ、メールサーバ、ssh、SQL、VPNなどはそのターゲットにされやすい。
中国ブラックマーケットでは毎月のように日本のVPNの接続情報が売買されているが、これは
中国に限ったことではなくロシアや他国の闇サイトも同様であると考えられる。
接続情報があれば、機器側は正規ログインとして判断するわけだから、セキュリティソリューション
自体が全く意味をなさなくなる。
更に、セキュリティソリューションを回避するプログラムや認証を回避するプログラム、侵入の痕跡を
消すプログラムなどハッキングのための技術情報が多数存在していて攻撃者は念には念を入れて
慎重に侵入してくる。
企業や団体のシステム管理者より、よほどサイバー攻撃者の方が、自分が見つかるリスクを考えて
慎重に行動しているのである。
自分のPCが朝起動した時に暗号化されているとしたらどうなるかよく考えてみた方が良い。
先ずは脆弱性が存在しないかきちんと確認して最新のアップデートを心がけたい。
安易なパスワード設定になっていないか、危険な場所を経由してアクセスしていないか。
セキュリティ上注意、確認することは手を抜かず実施しておかなければならない。
ハッカーグループが日本を狙うと表明している以上、攻撃が来ることを想定しておかなければならない。
ハッキングされないためにどうするか?
ハッキングされた時にどうするか?
ランサムウェア攻撃を受けたらどうするか?
万一の時に被害を最小限にする考え方が重要になってくる。
明日ランサムウェアで暗号化されているのは貴方のPCかもしれないのだから。
---------------------------------------------------------------------------------
<参考URL>
McAfee
Blog:2021/2/25
Babukランサムウェアを調査:5つの業界が対象に
https://blogs.mcafee.jp/babuk-ransomware
WatchGuardセキュリティニュース:2021/5/6
コロンビア特別区首都警察、二重恐喝ランサムウェア攻撃の被害者となったか
https://www.watchguard.co.jp/security-news/dc-police-alleged-victim-of-double-extortion-ransomware-attack.html
NHK:2021/5/15
サイバー攻撃受けた米の石油パイプライン操業再開も影響続く
https://www3.nhk.or.jp/news/html/20210515/k10013032121000.html
ITmediaビジネス:2021/5/20
世界中に広がるサイバー攻撃、日本企業は大丈夫なのか
https://www.itmedia.co.jp/business/articles/2105/20/news029.html
Copyright (C) 2014 SouthPlume Co.,Ltd. All Rights Reserved