「ランサムウェアとその事例」
ランサムウェア(Ransomware)について
ランサムウェアはコンピュータに感染して管理者権限を取得し、ネットワークを探索してアクセス可能なファイルを暗号化したうえで、データの復号を条件に身代金要求の脅迫メッセージを表示するマルウェアです。
IPAランキング
IPAが毎年公開してる「情報セキュリティ 10大脅威」の組織編ランキングでは2021と2022(調査期間2020年~2021年)で「ランサムウェアによる被害」が1位でした。
独自で集計した「ランサムウェアによる被害」のランキング推移です。
(組織編と個人編)
【組織編】
【個人編】
2018年までは個人へのランサムウェアによる攻撃も活発でしたが、2019年を境に企業や組織中心へのサイバー攻撃へ移っていきました。
従来のランサムウェア攻撃はコンピュータウイルスをばらまいて不特定多数を対象に感染を広げ、暗号化から脅迫までウイルスの機能で行われていましたが、近年では企業・組織への攻撃を行うために攻撃者がネットワークへ侵入して個人情報や機密情報を窃取した後、ランサムウェアを使って重要データやバックアップデータを暗号化します。
そして「データの復旧」を条件に脅迫し、さらに応じなければ「機密情報の公開」を迫って二重脅迫を行います。
攻撃者は要求に応じなかった場合、窃取した機密情報をネット上に公開したり闇サイトでオークションにかける等を行います。
ランサムウェアによる被害の事例
カプコン
2020年11月2日 |
社内システムへの接続障害を確認。システムを遮断し被害状況の把握に着手 |
2020年11月2日 |
障害の原因が、ランサムウェアの攻撃によるネットワーク上の機器に対するファイルの暗号化であることが判明。被害を受けた端末において「Ragnar Locker」を名乗る集団からの脅迫メッセージを発見し、大阪府警察に通報。外部企業に復旧支援を要請 |
2020年11月2日に社内システムへの接続障害を確認。ランサムウェアでデータが暗号化されてシステム障害が発生し、盗まれた個人情報の返還と暗号化を解除させるために金銭を要求された事件です。
サイバー犯罪集団「Ragnar Locker(ラグナロッカー)」が自らのウェブサイトで企業から盗んだデータだと主張するファイルを公開し、身代金としてビットコイン1100万ドル(約11億5000万円)を要求したとされています
。
カプコンは攻撃者との交渉をせず一切コンタクトを図っていないと報告で公言しています。
攻撃者はVPN装置の脆弱性をついてネットワークへ侵入し、機密情報を窃取したのちマルウェアを感染させたとみられます。漏洩したデータは一部公開されていることが確認されています。
徳島県つるぎ町立半田病院
徳島県つるぎ町立半田病院 コンピュータウイルス感染事案有識者会議調査報告書について
2021年10月31日 |
院内にある複数のプリンタから、データを窃取および暗号化した内容の文書の大量印刷を確認。 |
同日:0時30分 |
電子カルテの不具合確認。システム担当者に通報。 |
同日:3時00分 |
システム担当者到着後、即座に電子カルテのネットワークを遮断。 |
同日:8時00分 |
ランサムウェアの感染確認。 |
2021年10月31日に院内にある複数のプリンタから脅迫文が印刷されサイバー攻撃が確認されました。
半田病院側はインシデント発生当日に記者会見を行うなど状況を迅速に公表し、新聞やテレビなどへの取材にも積極的に応じて広く伝えられたことから事件を知っている方も多いのではないでしょうか。
国際的サイバー犯罪集団「LockBit(ロックビット)」による犯行声明。
「Your data are stolen and encrypted」
(あなたのデータは盗まれ、そして暗号化された)
「The data will be published…」
(データは公開されるだろう)
英文の犯行声明にはサイバー犯罪集団と接触するために必要なダークウェブのアドレスが記載されていましたが、半田病院側は一切の交渉をしないことを決めアドレスにはアクセスしていないとしています。
半田病院側の対応で素晴らしいところは、一夜明けてすぐに今回のインシデントを「災害」と認定して災害対策本部を立ち上げ、地震などの災害を想定して作られていた事業継続計画(BCP)に基づき、普段から訓練を行っていた「最低限の医療を維持する」という動きを迅速に行ったことです。
病院スタッフが一丸となり外部の助けも借りながら2か月とちょっとでシステムを復旧することができました。コロナ禍でサイバー攻撃を受けながらも医療提供を維持し困難を乗り越えたことができたことはとても素晴らしいと思いました。
ただし、「情報セキュリティ」という観点からは問題点が多数あります。
当時の半田病院のシステム担当は一人でした。
トラブル発生の一報を受けて駆け付けたシステム担当者は急ぎサーバ室に入ると、モニターに赤い文字で「重要なファイルが暗号化された」と表示されていたそうです。
その後、深夜の病院で一人、200台近くあるパソコンのLANケーブルを全て引き抜き、バックアップサーバの電源も切断しましたが、オンラインでつながれていたバックアップもすでに被害にあっていました。
もう完全にホラーですよね。画面に浮かぶ赤い文字と深夜の病院で放心状態のシステム担当が一人、200台のパソコンから一台ずつLANケーブルを抜いていく…地獄かな?...
今後二度とこのような悲しい人間が生まれないで欲しい、、、;;
半田病院は今回のインシデントに対して有識者会議・調査事務局を立ち上げ詳細な報告書をWebに公開しています。
この報告書を読むと被害にあった当時の半田病院のネットワークは「情報セキュリティ」に関して「脆弱性を生むようなリスクのある選択が数多くまかり通っていた」といえるぐらい問題点の多かったことがわかります。
ソフトウェア開発を担当したC社、運用・保守のA社、インシデント対応を行ったB社等の専門的な知識や技術を持っていなければならない側の対応があまりにも杜撰だったいう内容が記載されています。
(半分ぐらい読んだところで大体わかります)
半田病院は調査報告書の最後で「全国各地の病院、さらには組織、企業が有する問題点を明らかにし、サイバー攻撃に耐性のある情報システムの構築、そして組織づくりについて一つの指針を与えるもの」として「今後の、特に地方における組織のサイバーセキュリティ対策の一助となれば幸いです」と綴っています。
公開された報告書はインシデント発生から時系列の対応や問題点、今後の対策などが詳しく記載されているので情報セキュリティに興味のあるかたは是非一読されることをおすすめします。
そしてこの案件もまた、VPN機器の脆弱性をついてネットワークへ侵入をしています。
VPN機器の管理者情報がダークウェブで公開されており、VPN機器のベンダーからは2年前から4度にわたって利用者への注意喚起が行われていました。
しかし、誰も気づかなかったのか対処されることはなく今回のサイバー攻撃を許してしまいました。
今回登場した「Ragnar Locker」や「LockBit」といったランサムウェアを使ったサイバー犯罪集団は数多く存在します。
次回は「その3:サイバー犯罪集団とRaaSの仕組み」について話したいと思います。
0 件のコメント:
コメントを投稿