世間を大きく騒がしています。
「ランサムウェア被害」最近ではKADOKAWA(ニコニコ動画)へのサイバー攻撃が話題となり
大きなニュースとなりました。
ランサムウェアとは身代金を意味する「Ransom(ランサム)」と「Software(ソフトウェア)」を
組み合わせた造語です。 暗号化することでファイルを利用不可能な状態にした上で、そのファイルを
元に戻すことと引き換えに金銭(身代金)を要求するマルウェアを指します。
かなり悪質な内容ではありますが、これら悪質な輩に狙われるのは大手や行政系と高を括って
おりましたが、最近では地方の中小製造業も狙われております。
「まちの総務」を通じてお付き合いのある、システムエンジニアの方から情報提供頂きましたので
注意喚起も含めて共有いたします。
ランサムウェアに狙われた企業の顛末
いわゆる地方の中堅製造業です。
週明けのある月曜日、社員が出社してPCを開くとサーバーに接続出来ない状況
システム部門に確認したら何やらサーバーでおかしな挙動が……
そのタイミングで警察から一本の電話が「警視庁でサイバー犯罪(通信を)監視している部門があり
そこで海外のサーバーに大量にファイル転送している兆候が検知されたそうです」との事
最初は「えっまさかうちの会社レベルがランサムに狙われる?」と言う反応だったそうです。
調べて見ると社内のWindowsサーバー(AD管理)のファイルサーバーが狙われたようです。
「guest」アカウントにアタック攻撃を受けて侵入した様子です。
詳細までは確認出来ていませんが、ファイルを抜取りながらウイルスを発動させてファイルを
暗号化(利用不可能な状態に)していた様です。
これだけでも怖いですよね。
サーバー側でクライアントPCの監視ツール(ログを収集するソフト)も導入してあったそうで
そのログ情報などから被害状況を確認して調査
サーバーはすぐにネットから分離して、サーバーは初期化してバックアップからリストアして
環境面は無事に復旧
怖いのは情報を抜き取られていると言う事実
怖いのは、データの漏洩範囲の特定です。情報を抜き取られていると言う事実です。
犯人と思われる組織から数回連絡(外国語での電話)があったそうですが「身代金要求やトップ
とのコンタクト要求」(たまたま社長が不在だったそうです)
それからは何も音沙汰が無かった様です。
不幸中の幸いではありますが、製造業なので顧客情報等の管理は無くお客様への二次被害は
最小限との事、技術的な情報は一部抜かれている様です。
技術的な情報とは自社製造の設計図面(CAD情報)などの様ですが、これについても特に
影響が出る様な内容では無かった様子です。被害としては非常に限定的だったのが幸いです。
警察やIPA関係部門からのやり取りの中で、今回の犯行は「8base」と呼ばれる海外のハッカー
グループの様です。IPアドレスから特定した所、国はルーマニアだったそうです。
8Baseは、2023年に出現したランサムウェアです。侵入したターゲットのファイルを暗号化すると
ともに、リークサイト上でデータを公開し身代金を要求する二重恐喝ランサムウェアです。
現在、米国の銀行・金融機関ほか様々な組織機関に対してデータ公開と恐喝を行っています。
Web記事を見ますと、かなり多くの被害が出ている様です。
広範囲でアタックを仕掛けて、VPN経由のADサーバー(オンプレ)の穴を突いて侵入して
来るので相手構わずといった所です。
そうなると大手企業や行政などレベルでは無く、中小企業も一気に被害に遭う可能も高い訳です。
そしてその企業に「暗号化されたデータ復旧してほしければ身代金支払え」と要求。
あまり表には出てきませんが、影で身代金を支払っている企業もあるかもです。
絶対に許せない悪質な犯罪行為です。
ざっと、事の顛末は以上になりますが。
大事なのはここから学ぶ事です。
この部分は後半戦に続きます。
