情報セキュリティの選りすぐりの技術と信頼を届けます
SIPSセキュリティレポート 2021年8月27日号
***************************************************************
狙われる日本企業 ランサムウェア攻撃による企業内部情報の公開続出
***************************************************************
8月のサイバー攻撃が止まらない。
SIPSで過去最多の脅威情報を確認している今月は既に90件を超え、その内3分の1の37件は
特定企業の名前やドメインが明記された情報であり内訳は以下の通りである。
▼WebサーバハッキングによるDB情報搾取(5件)
▼メールサーバ乗っ取りによるメールアカウントやパスワード、個人情報搾取
(20件)
▼内部サーバハッキングによる企業機密情報搾取 (1件)
▼フリマサイトやショッピングサイトのアカウント情報の搾取
(4件)
▼データ暗号化と情報公開もしくは公開予告 (4件)
▼ハッキング依頼 (3件)
この数字は8月1日~25日にSIPSで確認した脅威情報の掲示件数で1件の書き込みに存在する
データ量(例えば個人情報の数)は数百件~数万件存在している。
この中で注視したいのは、「データの暗号化と情報公開もしくは公開予告」つまりランサムウェアの攻撃
である。
今年6月にParadiseやBABUK
Lockerのランサムウェアソースコードが公開され、変種の攻撃増加
を警告していたが、東京五輪前からランサムウェアの攻撃が世界的に増加し始め、8月は日本企業も
次々と被害を受けた。
攻撃者は脆弱性を突いて侵入する、または社員になりすまして侵入しサーバの管理者権限を得る。
データの保存場所を特定したら情報をコピー、搾取した元データを暗号化して警告文を表示させる。
警告文には「暗号化を解いてほしければ支払要求に応じろ」とある。
さて皆さんが、もしこの立場になったらどうするか?
もちろん、事前に対策をしている企業、していない企業によっても状況は変わるが、何が最善と言える
だろうか?
インターネットが普及し始めた頃、ウイルス蔓延やホームページ改ざんなどのサイバー攻撃が発生する
と「何の目的で!」と攻撃者を悪者にして被害者に同情する。そして「うちには攻撃は来ない」「攻撃
されても盗むものなどない」と高を括っていた。
しかし現在はサイバー攻撃が来る前提で対策をしないといけない。
攻撃者だけでなく対策をしていない企業や組織にもその責任が問われる時代なのである。
一般的な対策としては、ウイルス・マルウェア対策ソフトを含む対策製品の利用やその他セキュリティ
製品の利用で不正を検出する。そして万一のためのバックアップが最低限必要になる。
ところが今月ランサムウェア攻撃を受けた“ニップン”では、一般的なセキュリティ対策は行っていたにも
関わらず被害に遭ってしまった。
こうなると被害に遭う事が前提で、被害を最小限にする対策が重要になってくるのである。
今月ランサムウェアによる被害を受けた会社は他にも幾つかニュースになっているが、24日のニュース
になった全国自治体から公共事業の施工管理などを請け負うオリエンタルコンサルタンツもその一つで
ハッカー集団「LockBit2.0」からの攻撃であることが分かった。
しかし時を同じくして「LockBit2.0」から別の日本企業も攻撃を受けている。
SIPSで確認したのは、8月16日に合成樹脂メーカー、8月18日には自動車部品や電設機器も
手掛ける電線メーカーが同じ「LockBit2.0」により搾取された社内機密データをダークウェブ上に
公開された。そしてもう1社、水産・観光事業を行う企業は、今、正に公開予告をされ8月31日の
期限を付けられてダークウェブ上に公開予告が掲示されている。
これは偶然ではない。明らかに日本企業を狙い撃ちした攻撃である。
そして8月24日、日本の海運会社が別のpayloadbinランサムウェアグループから攻撃を受けて
ダークウェブ上に「連絡が取れないから間もなくデータを公開する」とした脅迫文が掲示された。
何故日本を狙うのか?理由は幾つかある。
セキュリティ対策が弱い。日本の情報は高く売れる。そして日本企業はお金を持っている。という事だ。
ハッカーグループは身代金が入らなくても関係なく、闇サイトで名を売るという意味での目的は達成
する。もちろん企業のシステムは暗号化するだけでなく、別の罠も仕掛けているケースがほとんどである。
被害に遭った企業は暗号化されたシステムを元に戻す作業、内部情報の公開による信用失墜、
公開された情報の2次被害など大変な苦労を強いられる。中には経営危機に直面する企業も出る
だろう。そしてそれを見た別の企業が被害に遭うと要求通りに金銭を払うしかなくなるケースもある。
米国の石油パイプライン企業などは、復旧に時間を要し生活に支障をきたすため金銭を支払った。
その点ランサムウェア以外の脅威情報はランサムウェアほど復旧にお金や時間はかからないが、実際
にはWeb、メール、内部サーバがハッキングされ、情報が搾取されて売買されている。
この中には日本を代表するIT企業や物流、ショッピングサイト等大手から中小企業まで名を連ねる。
もちろんこれらの情報を悪用されれば自社だけでなく顧客にも迷惑をかけることになり、これはこれで
大変な事である。
しかし、これらの情報をランサムウェアグループが侵入経路情報と共に購入したら、どうなるだろう。
簡単に侵入され、内部データを暗号化され脅迫されてしまう可能性もあるということだ。
更に脅威なのはハッキング依頼である。
具体的な社名・ドメインを指定した攻撃依頼、日本企業であればどこでもいいというハッキング依頼
など複数のハッキング予兆も今月は多数確認されている。
依頼をする人がいれば依頼を請け負う人もいる。サイバー攻撃者にも得手不得手があるからだ。
中国ブラックマーケットや海外のブラックマーケットにはハッキング技術やハッキング手法などの情報も
多数存在している。いわゆる現在のハッキングトレンドである。
このような情報を事前に把握してハッキングに備え、ハッキングされた時を考えて被害を最小化する。
今はこれしか手段はないのかもしれない。
パラリンピックが始まり、まだまだ攻撃は続くことが予測される。
十分なセキュリティ体制を取っている日本を代表する企業でさえハッキングされているのである。
気を緩めず、各社厳戒態勢で望む必要がある。
---------------------------------------------------------------------------------
<参考URL>
NHK:2021/8/24
建設コンサルタントにサイバー攻撃
公共事業データ盗まれたか
https://www3.nhk.or.jp/news/html/20210824/k10013219561000.html
産経新聞:2021/8/22
身代金型サイバー攻撃、再び活発に 標的は企業
https://www.sankei.com/article/20210822-FU3VMDVECBL6VFFWOCMGQNXXKM/
SouthPlume NEWS:2021/8/24
LOCKBIT2.0 ランサムウェアG
日本企業を次々に攻撃し公開予告
http://www.southplume.com/news20210824.html
GigaZine:2021/7/21
ランサムウェアに支払われた身代金の詳細をまとめるウェブサイト「Ransomwhere」
https://gigazine.net/news/20210712-ramsomwhere/
Copyright (C) 2014 SouthPlume Co.,Ltd. All Rights Reserved