「テレワーカーの端末を起点に行われた不正アクセス」
テレワークの導入率が急速に上昇しました。パンデミック前と比較して導入率が2.5倍になったというデータもあります *1 。
テレワーク環境の構築を急ピッチで進めざるをえなかったことのシワ寄せでしょうか、テレワーカーが業務に使用する端末から企業ネットワークへと侵入するといった事例が2つ報告されていますのでご紹介いたします。
① テレワーク環境でマルウェア感染、社内に拡大 - 三菱重工
三菱重工(名古屋地区)のネットワークが第三者による不正アクセスを受けたことを、8月7日に発表しました *2 。
従業員が在宅勤務で社内NWを経由せずにインターネット経由でSNSへ接続、ウイルスが含まれたファイルをダウンロードしてしまったことから、会社支給端末が感染しました。その後、社内のネットワークに会社支給端末を接続したため、社内ネットワーク内で感染が拡大してしまいました。
漏洩した情報はグループのネットワークを利用する従業員等の個人情報(氏名およびメールアドレス)のほか、サーバのログ、通信パケット、サーバ設定情報を含むIT関連情報等で、取引先の情報や機微な情報は該当しませんでした。
4月に発生し5月に発見、7月まで調査を行っていたことから、一般への情報公開は8月になったようです。再発防止のため、会社支給端末をインターネットに接続する際、強制的に社内ネットワークを経由する処置(VPN強制接続)が適用されました *3 。
② NTT Comへの不正アクセス、BYOD端末からの経路も判明
5月28日に報告されたNTTコミュニケーションズの情報流出事件について当初、海外拠点からの侵入が発表されていましたが、VDIサーバに接続するBYOD端末からも侵入されていたようです *4 。
どのようにしてBYOD端末を攻撃したかについては詳細な情報がありませんが、何らかの方法で社員のアカウント情報が盗まれてしまったようです。
◎テレワーカーが使用する端末におけるセキュリティ対策
2つの事例から分かるように、テレワーカーの使用する端末の保護は非常に重要なポイントです。
一方で、急増したテレワーカーの端末に対するセキュリティ対策は難しいです。端末数の多さもさることながら、BYOD端末の使用を許可せざるを得ない企業も多いでしょう。三菱重工の例のように会社支給端末を用意できている場合はインターネットのダイレクトな接続を全て禁止することで社内のセキュリティポリシーを強制的に適用させることもできます。
しかし、社外から社内への接続が集中することで、ネットワーク帯域が逼迫し、ユーザの使用感が損なわれることで生産性の低下につながります。このような生産性の低下を招くネットワークの逼迫を回避かつセキュアな接続を実現するためには、クラウドで提供される単一のアクセス経由ポイントを導入するなどといった、SASE(Secure Access Service Edge)を意識した対策を実施する必要があります。
また、①の事例のように、テレワーカーの端末がマルウェアに感染することを防止する対策も必要です。BYOD端末であってもWindows Defenderは無料で利用できるため有効にしている人も多いと思いますが、それだけでは高度化したエクスプロイト攻撃を防ぐには不十分です。弊社ではアプリケーションの脆弱性を突いて悪意のあるコードを実行させる攻撃を低負荷で防止することができるMorphisecという製品をご紹介することができます。
それにしても、インシデントの詳細が報告されている上記の2例は素晴らしいですよね。
全体の把握ができるということは当然、異変を検知し、調査ができるほど整備された環境を持っていて、そこにコストをかけて調査ができているのですから。
攻撃はされていても、セキュリティ意識が高くないとできません。上記の例が氷山の一角でないことを願うばかりです
セキュリティニュース(国内編)「情報流出事案の公表義務化決定、違反業者は最大1億円の罰金へ」
セキュリティ対策への出資は一般的に費用対効果を表現しづらいため、会社の経営層に対してその必要性を訴えてもなかなか伝わらないという問題があります。
しかし、法律や政策などの方面から企業や顧客の重要情報を守ろうという動きがありますので記事にしてみました。
情報流出事案の公表義務化決定、違反業者は最大1億円の罰金へ
政府の個人情報保護委員会は、2022春からサイバー攻撃で個人情報が漏洩した企業に対して、被害者全員と個人情報保護委員会へ報告することを義務付ける方針です *5 。
違反すると上限額1億円の罰金が課せられることになります。今まではこれほどまとまった額の罰金を課されることがなかったことを考えると、会社経営者としては無視できない変更ですね。
欧米では既にGDPRなどで義務化されており、違反すると1億円なんてもんではなく、数百億円レベルの罰金が当たり前の世界です。現時点の日本の法律において、個人への通知は各企業の判断に任せられているため、情報流出の確認が難しい企業はホームページへの簡単な謝罪文で済ませることも少なくありません。
罰金制度によってセキュリティ対策がより一層重要視されるようになることは間違いないでしょう。
データベースを猫の鳴き声で埋め尽くす「ニャー攻撃」が急増、5000件超の被害か
面白い(?)特徴をもった攻撃が流行しています *6 。
インターネット上にある保護されていない公開状態のデータベースに対する攻撃で、中身をほぼ削除されたうえで、「meow(ニャー)」を末尾に含む文字列が残されていたそうです。ランサムウェアのように身代金を要求するでもなく、わざわざ痕跡を残している動機はまったくわかっていないそうです。
既に世界では4,000件以上被害を受けているらしく、日本でも85件以上の被害があります。
一昔前までは現在のような金銭目的のサイバー攻撃ではなく、自己顕示欲や悪ふざけ目的の攻撃が多かったものですが、今回の件に関してある研究者は"インターネット上にある安全でないデータベースが簡単に攻撃可能なほど無防備なので、悪意ある攻撃者が面白半分でやっているのでしょう。
今回のニャー攻撃は、サイバー衛生を無視して顧客のデータを一瞬にして失う業界や企業に対して、警鐘を鳴らしています"(引用元:*6)と発言しています。警鐘であるなら、さすがにもう少し実害のない形で鳴らしてほしいものですね。
セキュリティニュース(海外編)「Emotetキャンペーンが世界で再始動。日本も対象に」
今注目したい2つのマルウェアについてまとめました。
一つ目は、5か月の期間を経て再活動を始めたEmotetについて、再活動した背景を考察しました。二つ目は、IPAからの注意喚起の元になったであろうマルウェア「Maze」について簡単にまとめましたので、一つ目と併せてご覧ください。
「Emotetキャンペーンが世界で再始動。日本も対象に」
昨年の12月から今年の2月にかけてEmotetマルウェアが日本でも騒動を巻き起こしていましたが、7月後半に世界的に活動を再開したことが確認されました *7 。5か月ぶりの活動であり、日本も例外ではないようです *8 。
なりを潜めたと思われたEmotetですが、何故今になって活動を再開したのでしょうか。こちらに関して、Emotetだけに限った話ではないですが、CheckPoint社では以下のように考察しています *9 。
"5月から6月にかけて、各国がロックダウンを緩和し始めたことで、攻撃者もコロナ関連以外の活動を強化し、4月と比較すると6月末には全ての種類の攻撃の割合が34%増加した。"(*9からの抜粋)
日本でも緊急事態宣言が解除されて、経済活動を再開し始めましたね。
Emotetが流行した当初は、特にコロナ関連の話を利用したような手口を利用されていませんでした。7月からのEmotetも同様です。
また、6月から7月にかけて、コロナ関連の攻撃が50%減少し、それ以外の攻撃が増加しているという調査結果もあります *10 。
以下の図(Check Point社の調査結果の一部)から、コロナウィルスの影響で各国が移動や入国などの規制を強め始めた3月から4月にはコロナ関連の攻撃が増加しているのに対し、その他の攻撃が減少していることが分かります。
つまり、コロナウィルスをネタにすることで攻撃が成功しやすくなると踏んだ攻撃者が多かったことが伺えます。一方、前述した通り、規制が解除され始めた5月から6月にかけて、コロナ関連の攻撃が減少し、その他の攻撃が増加していることが分かります。
コロナ関連の攻撃が成功しづらいことが判明したのか、それとも攻撃者にも通常の生活が戻ってきたからなのかは不明ですが、攻撃者も通常の攻撃に切り替えているのは確かなようです。
以上のことから、攻撃者は現在の世情を顧みて、コロナ関連の攻撃では利益が得られないため従来の攻撃に切り替えた、と考察することもできます。
そして、この活動の中に、Emotetが含まれていた、ということになります。なかなかに迷惑な話ですね。
二重で身代金を脅迫!Mazeランサムウェア
先日、IPAからの事業継続を脅かす新たなランサムウェアに関する注意喚起が周知され、以下の2つの攻撃の変化について分かりやすく解説されています *11 。
- 人手によるランサムウェア攻撃 (human-operated ransomware attacks)
- 二重の脅迫 (double extortion)
(引用元:*11)
ここで、2の「二重の脅迫」と聞いて、まずピンと来たのは「Maze」ランサムウェアです。
今年に入って、Mazeの被害報告が海外のニュースサイトでもちらほらと見受けられ、先月から今月にかけて日本でも少しずつ報告されているため、本トピックではMazeについて、簡単に解説いたします。(1については、本メルマガのトップ記事やバックナンバーでも触れているため、そちらをご覧いただければと存じます。)
Mazeランサムウェアとは?
2019年5月に発見された、ほぼすべての業界を攻撃対象とした厄介なランサムウェアです *12 。
Mazeの侵入経路は、標的型メールに添付されているWordやExcelの利用やRDPに対するブルートフォースの他、VPNサーバの脆弱性を突いた侵入などもあります。つまるところ、IPAからの注意喚起にあった「人手によるランサムウェア攻撃」にも関連します。
そして、攻撃成功後は主題にもある通り、二重で脅迫を行い身代金を要求します。加えて、身代金要求の脅迫文を音声で再生することも特徴的です(不安を煽ることが目的でしょうか)。
二重の脅迫とは?
Mazeは攻撃成功後、以下の2つの内容を脅迫メッセージに盛り込みます。
a. 暗号化したデータに対する身代金要求
b. 暗号化前の盗んだデータに対する身代金要求
aは従来のランサムウェアと同じですが、bが今までありそうでなかった新しい脅迫方法になります。
bでは、暗号化前に盗んだデータをリークサイトで公開したり、ダークマーケットで売りに出したりすると脅迫することで、身代金を要求します。データが公開されるだけでもかなりの痛手ですが、そのデータを活用されることで新たな被害を引き起こす可能性があります。
例えば、VPNサーバ/社内LANの社員端末/ドメインコントローラそれぞれの認証情報が公開されると、大抵の攻撃者は侵入し放題です。
aに対しては復号ツールが有志や有名なセキュリティベンダによって作られるため回避できるケースもありますが、bの場合は現状、対策が難しいため身代金を払わざるを得ない状況を作りだされているように思えます。
被害報告
主に海外からの被害が多いですが、日本でも被害の兆しがあるようです。その一部を以下の表にまとめました。
| 企業名 | 被害状況など |
| MaxLinear社*13 | 米国のハードウェア企業、2020/5/24に被害発覚、窃取されたデータがオンラインで公開される |
| コスタリカのBCR銀行*14 | 2020/5/25に情報漏洩が発覚、2GBのクレジットカード情報が公開される |
| Conduent社*15 | 米国に本社を置くビジネスプロセスサービスを提供、2020/5/29に被害が発覚、顧客の業務の一部が中断される |
| TMW社*16 | 日本の金型メーカー、2020/7/16にMazeランサムウェア被害に遭い、情報漏洩したと報じられる(詳細は不明) |
| CANON*17 | 米国のキヤノン、2020/8/5に従業員から被害を認めた情報がリークされる、10TBの情報が盗まれた可能性がある(公開の有無は不明) |
対策
Mazeに対する基本的な対策としては、
- RDPやVPNなどに対して、許可されたIP(あるいはユーザ)以外からのアクセスを拒否する
- SMB455ポートをブロックする。
- WindowsやVPNサーバへのパッチ適応
などが挙げられます。
また、Mazeをマネして二重脅迫を行うランサムウェア(EKANSやSodinokibiなど)も増えているという報告もあるため、Maze以外のランサムウェアでも同等の被害を受ける可能性があること、ご注意ください。
■ 関連リンク・引用
*1:テレワーク導入率緊急調査結果と事業継続緊急対策(テレワーク)助成金募集期間延長をお知らせします(第330報), 東京都, 2020/08/20
*2: テレワーク環境でマルウェア感染、社内に拡大 - 三菱重工,Security Next, 2020/08/20
*3: 当社グループ名古屋地区のネットワークに対する第三者からの不正アクセスに係る件,三菱重工, 2020/08/20
*4: 当社への不正アクセスによる情報流出の可能性について(第2報),NTTコミュニケーションズ, 2020/08/20
*5: サイバー攻撃での個人情報漏えい、被害者全員への通知義務化へ,セキュリティ通信, 2020/08/20
*6: データベースの中身がほぼ削除されてネコの鳴き声だけが書き残される謎の「ニャー攻撃」が活発化,GIGAZINE, 2020/08/20
*7: Emotet Malware Returned with Massive Malspam Campaign,E Hacking News, 2020/8/20
*8: Emotetが5ヶ月ぶりに活動を再開。日本でも感染端末からのメール送信が確認される。,Yahoo!ニュース, 2020/8/20
*9: Cyber Attack Trends: 2020 Mid-Year Report,Check Point, 2020/8/20
*10: Threat actors join in the race towards a coronavirus vaccine,Check Point, 2020/8/20
*11: 【注意喚起】事業継続を脅かす新たなランサムウェア攻撃について,IPA, 2020/8/20
*12: Maze: the ransomware that introduced an extra twistt,Malwarebytes LABS, 2020/8/20
*13: Chipmaker MaxLinear hit by 'Maze' ransomware attack,REUTERS, 2020/8/20
*14: Maze ransomware operators leak credit card data from Costa Rica's BCR bank,security affairs, 2020/8/20
*15: Incident Of The Week: Maze Ransomware Targets Conduent And Aerospace Entity In Unrelated Incidents,CYBER SECURITY HUB, 2020/8/20
*16: 愛知の車部品企業で情報漏洩、標的型のランサムウェアに感染か,日経XTECH, 2020/8/20
*17: Canon Ransomware Attack Results in Leaked Data, Report,threat post, 2020/8/20
