ランサムウェアが企業に与える莫大な金銭的被害は身代金だけじゃない

ランサムウェアが話題にならない日はほとんどない。先週、ITコンサルティング大手のAccenture(アクセンチュア)がランサムウェア「LockBit(ロックビット)」の被害に遭ったばかりだが、その数日後には、台湾のノートPCメーカーであるGigabyte(ギガバイト)もランサムウェアの被害に遭ったとみられ、ハッカーたちによってAMDとIntel(インテル)の機密データがギガバイト単位で流出した。

ランサムウェアは、新型コロナウイルス感染拡大時に急増したが、依然として企業にとって最も費用の掛かる問題の1つである。米国の大企業はランサムウェアによって毎年平均566万ドル(約6億2400万円)もの損害を被っている。しかし、新たな調査結果によると、それはあなたが考えるような理由からではない。

ハッカーから数百万ドル(数億円)規模の身代金の支払いを要求されるという話はよく耳にするが、Proofpoint(プルーフポイント)とPonemon Institute(ポネモン・インスティテュート)の調査によると、身代金の支払いがランサムウェア攻撃に対する総費用に占める割合は一般に20%以下であることがわかった。年間566万ドルという数字のうち、身代金の支払いは79万ドル(約8700万円)に過ぎないということだ。それよりもむしろ、生産性の低下や、ランサムウェア攻撃を受けた際の対応や後始末に時間がかかることが、企業の損失の大半を占めているという調査結果が出ている。

Proofpointによると、平均的な規模の組織の復旧プロセスには平均3万2258時間が必要で、これにIT部門の平均時間労賃63.50ドル(約7000円)を掛けると、合計200万ドル(約2億2000万円)以上になる。また、作業休止や生産性低下もランサムウェア攻撃が招く支出増の一部だ。例えば、2020年のランサムウェア攻撃における約20%の根本原因と判断されたフィッシング攻撃は、2015年の180万ドル(約2億円)から、2021年には320万ドル(約3億5000万円)もの従業員の生産性低下をもたらしている。

「ランサムウェア攻撃を受けると、従業員と影響を受けた外部関係者との間で連絡ややり取りが膨大に増えることになり、多くのチームは『日常業務』の一部である既存の仕事をすべて直ちに中止し、数日から数週間、あるいは数カ月間も、この緊急の問題に集中しなければならなくなる可能性があります」と、ProofpointのAndrew Rose(アンドリュー・ローズ)氏はTechCrunchに語った。

「必然的に、顧客や規制当局からの監視が厳しくなり、第三者機関への依存度が高まります。これには顧客や規制当局の求めによる外部監査の大幅な増加も含まれますが、これも作業コストの増加につながります。また、規制当局からの罰金や、顧客からの集団訴訟の可能性もあります」と、ローズ氏は語る。

企業が取り組まなければならない金銭的な問題はこれで全部ではない。ランサムウェアの被害に遭った企業は、サイバー保険料の増加や高額なIT経費を強いられ、広報チームや法務担当者、カスタマーサービスの人件費、そして外部の専門家への支出も増加する可能性がある。

また、このような攻撃を受けた場合、ブランドや評価に傷がつくこともある。Cybereason(サイバーリーズン)による最近の調査では、米国企業の半数以上が、ランサムウェアの攻撃によって自社のブランドが損なわれたと報告している。

「上場企業の場合は、株価が下がる可能性もあります」と、ローズ氏は付け加えた。「また、顧客は自分のデータが危険にさらされていたことを知ると、その企業に対する信頼を失い、競合他社に乗り換えてしまうことも考えられます。それによって収益が低下する恐れもあります」。

関連記事
米国がExchangeサーバーのハッキングとランサムウェア攻撃で中国を非難、政府系ハッカー4人を起訴
ランサムウェアの問題を可視化するクラウドソースの身代金支払い追跡サイト「Ransomwhere」
独立記念日を狙うKaseyaのハッキング、ランサムウェアで何百もの企業に被害
画像クレジット:Bryce Durbin / TechCrunch

原文へ

(文:Carly Page、翻訳:Hirokazu Kusakabe)

米国がExchangeサーバーのハッキングとランサムウェア攻撃で中国を非難、政府系ハッカー4人を起訴

バイデン政権とその同盟国は、2021年初めに行われたMicrosoft Exchangeサーバーへの大規模不正侵入について、中国を正式に非難した。その際はこのハッキングが広範な破壊につながる可能性があるという懸念が高まったため、FBIが介入することになった。

関連記事:中国の国家ハッカーがExchange Serverの脆弱性をゼロデイ攻撃、マイクロソフトが警告

この大規模なハッキングキャンペーンは、Microsoft Exchangeメールサーバーのそれまで発見されていなかった4つの脆弱性を狙ったもので、これらの脆弱性を利用したハッカーたち(Microsoftはすでに、中国政府の支援を受けるハッカーグループHafnium[ハフニウム]の仕業としている)は、米国内の何万もの組織からメールボックスやアドレス帳を盗み出した。

Microsoft(マイクロソフト)はこの脆弱性を修正するパッチをリリースしたが、ハッカーたちが残したバックドアコードを削除することはできなかった。このためFBIは、米国内にバックドアが塞がれないまま残っていた数百台のExchangeサーバーを実質的にハッキングしてバックドアコードを除去するという、これまでにない裁判所命令を得た。世界各国のコンピュータセキュリティインシデント対応チームも同様の対応を行い、同じように攻撃を受けた自国の組織に通知しようとした。

関連記事
FBIがハッキングされたMicrosoft Exchangeサーバーのバックドアを塞ぐ作戦を実行
米国の中小起業や地方自治体にも中国ハッカーによるゼロデイ攻撃の被害

バイデン政権は米国時間7月19日に発表した声明の中で、この攻撃は中国国家安全省の支援を受けたハッカーによって実行されたものであり、その結果「主に民間企業の被害者に多額の回復コスト」が発生したと述べた。

「我々は、今回の事件と中華人民共和国の広範な悪意のあるサイバー活動の両方について、中国政府の高官に懸念を伝え、中華人民共和国の行動がサイバースペースのセキュリティ、信頼性、安定性を脅かすものであることを明確にしました」と声明には記されている。

米国家安全保障局(NSA)は、ネットワーク防御者が潜在的な侵入経路を特定できるよう、攻撃の詳細を公開した

英国やNATO加盟国を含む複数の同盟国も、バイデン政権の調査結果を支持した。英国政府は声明の中で、ハッキングの「広範なパターン」の責任は北京にあるとしている。中国政府は、国家によるハッキング行為を繰り返し否定している。

また、バイデン政権は、中国国家安全省が犯罪者であるハッカーと契約し、ランサムウェア攻撃のような無認可の業務を「個人的な利益のために」行っていると非難した。米国政府は、中国政府に支援されたハッカーが、ハッキングされた企業に対して数百万ドル(数億円)の身代金を要求したことを認識していると述べている。2020年、米司法省は世界的なハッキングキャンペーンに関与した2人の中国人スパイを起訴したが、検察当局はハッカーらが個人的な利益のために活動していると非難していた。

関連記事
米国が新型コロナ研究など狙った中国人ハッカー2人を起訴
独立記念日を狙うKaseyaのハッキング、ランサムウェアで何百もの企業に被害

米国は、ランサムウェアギャングがロシア国内で活動するためのセーフハーバーを提供することをやめるようクレムリンに公式に働きかけているが、これまで北京がランサムウェア攻撃を仕かけた、またはそれに関与していると非難したことはなかった。

19日の声明では、「ハッカーを雇って犯罪行為を行う中国の姿勢は、知的財産や専有情報の損失、身代金の支払い、被害軽減のための努力などを通じて、政府や企業、重要インフラ事業者に何十億ドル(何千億円)もの損害を与えています」と述べている。

また、この声明では、中国の支援を受けたハッカーたちが、恐喝やクリプトジャッキング(コンピュータのコンピューティングリソースを利用して、金銭的利益を得るために暗号通貨を採掘するコードをコンピュータに実行させる方法)に従事していたとも述べている。

司法省はさらに、中国国家安全省に所属する4人のハッカーを新たに起訴すると発表した。これらのハッカーは米国、ノルウェー、スイス、英国に拠点を置く被害者を標的に、知的財産やエボラ出血熱、HIV / エイズ、MERSなどの感染症に関する研究を、フロント企業を使って隠蔽しながら盗み出す活動に従事していたと米国の検察当局は指摘している。

「中国のハッキングキャンペーンは、医療、バイオメディカル研究、航空、防衛など様々な分野で十数カ国を対象に行われており、その幅広さと期間の長さは、いかなる国や産業も安全ではないことを我々に気づかせます。今日の国際的な非難は、世界が公正なルールを求めており、各国が盗難ではなく技術革新に投資することを望んでいることを示しています」とLisa Monaco(リサ・モナコ)副検事総長は述べた。

カテゴリー:セキュリティ
タグ:Microsoft ExchangeMicrosoftハッキングランサムウェアアメリカ中国米国家安全保障局

画像クレジット:Getty Images

原文へ

(文:Zack Whittaker、翻訳:Aya Nakazato)

ランサムウェアの問題を可視化するクラウドソースの身代金支払い追跡サイト「Ransomwhere」

新型コロナウイルスのパンデミックの乱気流で勢いづいたランサムウェアの攻撃は、サイバー犯罪者にとって大きな稼ぎ頭となっており、2020年は攻撃件数が増加した。

こうしたファイルを暗号化する攻撃は、今年もほぼ衰えることなく続いている。ここ数カ月だけでも、Colonial Pipeline(コロニアル・パイプライン)への攻撃で同社のシステムと東海岸の大部分へのガソリン供給が停止したり、食肉業者のJBSへのハッキングで世界各地の食肉処理場の操業が突然停止したり、今月はITベンダーのKaseyaへのサプライチェーン攻撃で数百人の下流の被害者がシステムから締め出されたりした

しかし、ランサムウェアの攻撃がニュースになることはあっても、その影響を完全に理解することはほとんど不可能だ。また、サイバー犯罪者の身代金要求に応じるなどのある種の決断が違いを生むかどうかもわかっていない。

Krebs Stamos Groupのセキュリティーアーキテクトであり、以前は米国のCybersecurity and Infrastructure Agency(サイバーセキュリティー・インフラストラクチャー庁、CISA)に勤務していたJack Cable(ジャック・ケーブル)氏は、クラウドソースによる身代金支払い追跡サイトRansomwhereを立ち上げ、この問題を解決しようとしている。

「Ransomwhereを始めようと思ったきっかけは、Katie Nickels(ケイティ・ニッケルズ)氏がつぶやいた、サイバー犯罪、特にランサムウェアの影響を誰も完全には把握していないという言葉でした」とケーブル氏はTechCrunchに語った。「現在、ランサムウェアの支払いに関する公的なデータを集めた場所がないことを知り、ビットコインの取引を追跡するのは難しくないことから、それをハッキングし始めました」

このサイトでは、サイバー犯罪者に支払われた身代金をビットコインで集計している。これは、ブロックチェーン上で取引を公開記録することで可能になった。このサイトはクラウドソースなので、誰もが提出できるランサムウェア攻撃の自己申告によるデータを取り入れている。しかし、すべての報告が正当なものであることを確認するために、報告の際にはランサムウェアの支払い要求のスクリーンショットを撮ることが義務付けられており、公開前にケーブル氏自身がすべてのケースを手作業で確認している。承認されたレポートの信憑性が疑われた場合、そのレポートはデータベースから削除される。

すでに急増しているこのデータベースには、個人情報や被害者を特定する情報は一切含まれていないため、サイバーセキュリティー業界や法執行機関の関係者は自由にダウンロードすることができる。

「ランサムウェアの経済性に関する現状を変えるための政策提案を検討する際には、そうしたアクションが成功したかどうかを評価するデータが必要になります」とケーブル氏は話す。「法執行機関は、Colonial Pipelineのハッキングで見られたように、支払った一部を回収する能力を持っているため、このサイトが彼らの努力をさらに支援できれば素晴らしいことです」

本稿執筆時点で、同サイトが捕捉した2021年の身代金支払いの総額は3200万ドル(約36億円)以上だ。これらの支払いの大部分は、JBSとKaseyaのハッキングを行ったロシアに関連するランサムウェアギャングであるREvilに支払われた。Ransomwhereによると、このグループは今年、1100万ドル(約12億円)以上の身代金をかき集めており、Kaseyaへの攻撃の一環として最近要求した7000万ドル(約78億円)が支払われると、その額は劇的に増加する可能性がある。

ダークウェブで最も人気のあるランサムウェア・アズ・ア・サービスの1つであるNetwalkerは、2021年は支払い額が630万ドル(約7億円)以上で2位となっている。Ransomwhereの集計によると、身代金の支払い総額では同グループが最も多く、同サイトのデータによると約2800万ドル(約31億円)に達している。

RangarLockerは460万ドル(約5億1100万円)、DarkSideは440万ドル(約4億8800万円)、Egregorは320万ドル(約3億5500万円)となっており、少なくとも現時点では、Ransomwhereのトップ5に入っている。

ケーブル氏によると、今後は、セキュリティーやブロックチェーン分析の分野の企業と提携して、彼らがすでに持っているランサムウェアの動きに関するデータを統合する方法を模索しているという。また、イーサリアムのような追跡可能な他の暗号資産(仮想通貨)をサポートする方法や、ビットコインの下流のアドレスを追跡する可能性についても検討している。

「Monero(モネロ)を使用している犯罪者を追跡することはほぼ不可能です」とケーブル氏は言う。「しかし、私は可能な限り全体像を把握したいと思っています」。

カテゴリー:
タグ:

画像クレジット:Bryce Durbin / TechCrunch

[原文へ]

(文:Carly Page、翻訳:Nariko Mizoguchi

独立記念日を狙うKaseyaのハッキング、ランサムウェアで何百もの企業に被害

米国時間7月2日に、世界数百社の企業をランサムウェアの洪水が襲った。食料品チェーンや放送局、国営鉄道などがファイルを暗号化するマルウェアに襲われ、数百社が業務続行不能による閉鎖に追い込まれた。

被害者には共通点があった。ネットワークの管理とリモートコントロールに、米国のテクノロジー企業Kaseyaのソフトウェアを使っていた。マイアミに本社のある同社は、企業のITネットワークとデバイスをリモートで管理するために使うソフトウェアを開発している。そのソフトウェアはマネージドサービスのプロバイダーに販売されており、実質的にIT部門をアウトソーシングし、プロバイダーはそのソフトウェアを使って顧客のネットワークを管理している。顧客は小規模の企業が多い。

しかし、ロシアと結びついているランサムウェア・アズ・ア・サービスのグループであるREvilと関係のあるハッカーたちは、そのソフトウェアのアップデートの仕組みに存在する、誰にも見つかっていなかったセキュリティの脆弱性を利用してランサムウェアをKaseyaの顧客企業にプッシュし、さらに、下流に位置する彼らの顧客へとそれは拡散したと信じられている。最終的にこの犯行の被害者になった企業の多くが、自分のネットワークをKaseyaのソフトウェアがモニターしていることすら、知らなかっただろう。

Kaseyaは7月2日に顧客(サービスプロバイダー)たちに、彼らのオンプレミスのサーバーを「IMMEDIATELY(ただちに)」シャットダウンするよう警告し、同社のクラウドサービスは(無事と信じつつ)用心のためオフラインにされた。

今回の攻撃をいち早く明らかにした脅威検知会社Huntress LabsのシニアセキュリティリサーチャーであるJohn Hammond(ジョン・ハモンド)氏は、約30社のマネージドサービスプロバイダーが攻撃を受け、ランサムウェアが「1000社をはるかに超える」企業に拡散したと述べる。セキュリティ企業のESETは、英国、南アフリカ、カナダ、ニュージーランド、ケニア、インドネシアなど17カ国の被害者を把握しているという。

7月5日の夜、Kaseyaはアップデートで、約60社のKaseyaの顧客が影響を受け、被害者の数は1500社未満であると発表した。

また現在、史上最大規模のランサムウェア攻撃をハッカーがどのように成功させたかが明らかになりつつある。

オランダの研究者は、ウェブベースの管理ツールのセキュリティに関する調査の一環として、Kaseyaのソフトウェアにいくつかのゼロデイ脆弱性を発見したと述べている(ゼロデイとは、企業が問題を修正するのに0日しか与えられないことから、そのように名付けられている)。これらのバグはKaseyaに報告され、ハッカーが攻撃してきたときには修正されている最中だったと、研究者グループを率いるVictor Gevers(ビクター・ゲバーズ)氏はブログ投稿で述べている。

Kaseyaの最高経営責任者であるFred Voccola(フレッド・ヴォコラ)氏は、The Wall Street Journalに対し、同社の企業システムは侵害されていないと述べた。これにより、セキュリティ研究者たちが、Kaseyaの顧客が運営するサーバーが、共通の脆弱性を利用して個別に侵害されたという定説をより確かなものにした。

同社によると、被害に遭ったソフトウェアが動いているすべてのサーバーが、パッチができるまでオフラインにされる。ヴォコラ氏はWSJに、パッチは7月5日中にリリースされるだろうと述べている。

犯行は7月2日の午後遅くに始まり、その頃は何百万人もの米国人が週末の7月4日に始まる連休に備えてログオフしていた。つまりCrowdStrikeの上級副社長Adam Meyers(アダム・マイヤーズ)氏が指摘するように、慎重に時間を選んで行われた犯行だった。

マイヤーズ氏は「今回の攻撃のタイミングと標的は、決して偶然ではありません。この攻撃は、我々が定義する『ビッグゲーム・ハンティング(大物狩り)』というもので、企業がガードを下げている週末に、サプライチェーンを通じて影響と利益を最大化するためにターゲットに対して仕かけられたものです」という。

週末にREvilが運営していると思われるダークウェブサイトにポストには、この犯行の声明と7000万ドル分(約77億6000万円)のBitcoin(ビットコイン)を支払えば、ランサムウェアグループが暗号解除ツールを公開リリースするとある。

同グループは投稿で「100万台以上のシステムが感染した」と主張している。

関連記事:ランサムウェアの脅威を過大評価か、2021年5月の米企業へのサイバー攻撃に対する身代金を米司法省がほぼ回収

カテゴリー:セキュリティ
タグ:Kaseyaランサムウェアゼロデイ攻撃マルウェア

画像クレジット:Ali Lorestani/Getty Images

原文へ

(文:Zack Whittaker、翻訳:Hiroshi Iwatani)

政府機関など対象に暗号資産犯罪やマネロンの検知・防止ツールを提供するチェイナリシスが約110億円調達

政府機関など対象に暗号資産犯罪やマネロンの検知・防止ツールを提供するチェイナリシスが約110億円調達、評価額約4648億円に

政府機関および民間企業を対象に、暗号資産犯罪やマネーロンダリングの検知・防止のための調査・コンプライアンスソフトウェアを提供するブロックチェーン分析企業Chainalysis(チェイナリシス)は6月28日、シリーズEラウンドにおいて、1億ドル(約110億6800万円)の資金調達を実施したと発表した。

引受先は、リードインベスターのCoatue、既存出資企業のBenchmark、Accel、Addition、Dragoneer、Durable Capital Partners、9Yards Capital、新規出資のAltimeter、Blackstone、GIC、Pictet、Sequoia Heritage、SVB Capital。また同社は、累計調達額が3億6500万ドル(約403億8500万円)、評価額が42億ドル(約4648億6000万円)に到達したと明らかにした。

調達した資金は、以下ビジョンの実現のため使用する。

  • データ:より多くの暗号資産を対象とし、DeFi(分散型金融)のような新たなユースケースに焦点を当てることでデータの優位性を深化させる。また潜在的な脅威の兆候をより迅速に特定し、対応までの時間を短縮するために、グローバル・インテリジェンス機能を立ち上げる
  • ソフトウェア:同社ソフトウェア・ソリューションに向けてコラボレーション・ツールを開発・実装し、公的機関と民間企業のチームが同じデータセットを使って、一貫した共通理解のもとで共同作業ができるようにする
  • アクセス:政府機関、金融機関、暗号資産交換業者(取引所)などが、Chainalysisのデータと企業内の情報を組み合わせ、より良い意思決定ができるように、APIを通じ同社データに直接アクセスできるようにする

Chainalysisは、世界60カ国以上の政府機関、取引所、金融機関、保険会社、サイバーセキュリティ企業にデータ、ソフトウェア、サービス、リサーチを提供。同社データは、調査、コンプライアンス、マーケット・インテリジェンス・ソフトウェアの強化ほか、刑事事件の解決、暗号資産取引における消費者保護に利用されているという。

関連記事
【コラム】サイバーテロを終わらせるために政府は民間セクターとの協力を強化すべきだ
曖昧だから良い? 米国の暗号資産規制がイノベーションを取りこぼさないワケ
USBキーのような暗号資産ハードウェアウォレットLedgerが415.6億円を調達
米財務省が暗号資産の報告義務を提示、富裕層の税逃れ対策を強化
仮想通貨ブームが続く中、ブロックチェーン分析のChainalysisが109億円調達

カテゴリー:セキュリティ
タグ:暗号資産 / 仮想通貨(用語)コンプライアンス(用語)Chainalysis(企業)DeFi / 分散型金融(用語)ブロックチェーン(用語)マネーロンダリング防止 / 資金洗浄防止 / AMLランサムウェア(用語)資金調達(用語)

【コラム】サイバーテロを終わらせるために政府は民間セクターとの協力を強化すべきだ

編集部注:本稿の寄稿者はMark Testoni(マーク・テストニ)氏とJoseph Moreno(ジョセフ・モレノ)氏。テストニ氏は、SAP National Security Services, Inc.のCEO。それ以前はSAPおよびOracleで指導的立場を務め、米国空軍に20年間勤務した。モレノ氏はSAP National Security Services, Inc.の法律顧問。それ以前は連邦検事およびFBIの9/11レビュー委員を務めた。米国陸軍予備軍中佐。

ーーー

次の戦争に負ける最善の方法は、今の戦いを続けることだという。中世における要塞が効果的な防御であったのは、火薬と大砲が攻囲戦のやり方を永久に変えるまでだった。単純な兵士の数に基づく戦場の優位性は、大砲と機関銃の威力に取って代わられた。

第一次世界大戦中、戦車は19世紀のテクノロジーで作られた要塞を文字通り踏み潰す革新だった。軍事史を通じて、革新者たちが戦果を享受する一方で、順応の遅かった者たちは押しつぶされ、敗れ去った。

サイバー戦争も何ら変わらない。伝統的兵器は、我々の経済と国家安全にとっても同様に致命的なテクノロジーに屈している。軍事的優位をもち、サイバー分野でも先端を行っていながら、米国はデジタル敵と今もアナログ的思考で戦っている。

これを変えなくてはならない。そのために政府はまず困難な選択を決断する必要がある。その攻撃力を影の中に潜む敵に対してどうやって使うのか、民間部門とどう協力していくのか、そして、私たちの日常生活を脅かす悪役から国を守るにはどうすればよいのか?

コロニアル・パイプラインは一歩前進、二歩後退

Colonial Pipeline(コロニアル・パイプライン)に対するランサムウェア攻撃の後、ロシアと繋がりのあるハッキング・グループDarkSide(ダークサイド)は活動を休止し、Federal Bureau of Investigation(連邦捜査局、FBI)は支払われた身代金4400万ドル(約48億7000万円)の一部を取り戻したと報じられた。これは明るい展望であり、我が国の政府がこの種の攻撃を深刻に捉えている証だ。しかしそれは、何年も前から知られている技術を使って罰を受けることなく敵対国で活動するサイバーテロリストが、国で最大の石油パイプラインを機能停止に陥れ数百万ドル(数億円)の身代金を持ち去ることに成功したという事実を変えるものではない。彼らはおそらく永久に裁かれることがなく、ロシアは結果を正視することなく、こうした攻撃は間違いなく続いていくだろう。

現実はといえば、企業はサイバー防御に関してより賢くなり、ユーザーは自分たちのサイバー衛生行動をより慎重にできるようになったものの、テロリストの活動を止める権力をもっているのは政府だけである。

国境内でサイバー犯罪者の活動を許している国々は、即刻犯人を引き渡し、さもなければ厳しい経済制裁を与えられるべきだ。そのような個人やグループに対し、避難場所やその他の支援を与えている国は、認定テロリスト組織を支援する者と同様に物質的支援の罪に問われるべきだ。

規制当局は、暗号資産(仮想通貨)取引所とウォレットが違法な取引や組織の捜査に協力することを強制し、従わなければ米国金融システムから除外すべきだ。警察や軍部、諜報機関は、サイバーテロリストの活動を著しく困難で危険で利益のないものにすることで、米国の産業や重要インフラに対して次の攻撃を仕かける意欲を失せさせるべきだ。

政府は民間セクターとの協力を促進すべきだ

我が国最大の脆弱性であり、逸している機会は、公民一体となってサイバー戦争に対する統一戦線を組めていないことだ。政府と民間セクターがサイバーリスクと事象情報をリアルタイムで共有することは、防御と攻撃どちらにとっても極めて重要だ。現在それは行われていない。

企業は、脆弱性を明らかにすることで、本来攻撃から守ってくれるべき政府自身から、訴訟され、捜査され、さらに被害を受けることを恐れすぎている。連邦政府は、情報の過剰な機密扱い、官僚制度の重複、民間産業と積極的に情報や技術を共有するインセンティブを与えないカルチャーの壁といった諸問題に対して、未だに答えを持っていない。

その答えは、強大な企業がやってきて一方的な情報の流れを要求することではない。民間人が自発的に名乗り出て、訴訟や規制措置を恐れることなく情報共有できるようにすべきだ。リアルタイムに自己開示されたサイバーデータは秘密を守られ、防御と応戦のために使用されるべきであり、被害者をさらに傷つけるべきではない。相互協力のためにあってはならないことだ。

そしてもし、連邦機関や軍部や諜報機関が、将来の攻撃やその防御方法に関する知識を手に入れたなら、用無しになるまでじっとしているべきではない。民間セクターと安全で、時宜を得た、双方に利益をもたらす方法で情報を共有する方法は必ずある。

企業は、サイバー事象情報の交換だけにとどまるべきではない。民間セクターと学術界はサイバースペースの膨大な発展に貢献しており、過去20年間に研究開発に費やされた金額の民間と公共セクターの割合はおよそ90%対10%だ。

我々の民間セクターは、シリコンバレーからテキサス州オースチン、バージニア北部のテクノロジー地域にいたるまで、最優秀な人材を擁し、政府に与えるられる膨大な資源をもっているが、そのほとんどが活用されていない。民間セクターの利益を押し上げているのと同じ革新が、国家安全保障の強化にも使われるべきだ。

中国はすでにこれを認識しており、もし我々が民間セクターの革新と米国の若い才能を活用する方法を見つけられなければ、後れをとることになる。バイデン政権と議会の民主党と共和党が政治的駆け引きをやめて採用すべき超党派的ソリューションを要請することがあるとすれば、これこそがそうだ。

軍事防御産業モデルを見よ

ありがたいことに、さまざまな形でうまくいっている公共・民間の活動モデルがある。現在兵器システムはDefense Industrial Base(防御産業基盤)がほぼ独占的に製造しており、戦場に配備された際には、脆弱性、脅威、効果の改善点などについて、兵士と定期的な双方向会話がなされている。この関係は一夜にしてできたものではなく、完璧にはほど遠い。しかし数十年にわたる努力の結果、堅牢な協業プラットフォームが開発され、セキュリティ検査の基準が制定されたことで、信頼が築かれた。

同じことを、連邦政府のサイバー担当機関と民間セクター全体の人々との間でも行うべきだ。金融機関もエネルギー企業も小売業も製造業も製薬業も、政府と協力してサイバーデータをリアルタイムに双方向で共有できるはずだ。政府はもし攻撃グループや脅威となる技術を見つけたら、攻勢に出て封鎖するだけでなく、その情報を安全かつ迅速に民間セクターに伝えるべきだ。

FBIや国土安全保障省や軍部に、プライベートネットワークをサイバー攻撃から守ることを求めるのは現実的ではないが、政府はそのための密な協力パートナーになれるし、なるべきだ。我々は、これを共同の戦いでもあり責務でもあることを認識した関係を受け入れるべきであり、正しく行うための年数は多くない。

政府は行動を起こせ

戦争の歴史を見ると、優位は常に最初に革新した者にもたらされている。サイバー戦争に関して、答えは人工知能や量子コンピューティングやブロックチェーンなどの先端技術だけにあるのではない。現代のサイバーテロリズムに対する戦争における最も強力な進歩は、幼稚園で習うほど簡単なものかもしれない。共有と協力の価値だ。

政府とテクノロジー産業、そして広く民間セクターの人々は、我々の競争優位性を維持し、クラウドコンピューティングや自動運転車や5Gなどの先端技術を利用するだけでなく、私たちの生活様式を守り持続していくために一致団結すべき。これまでこの国は公共と民間の協力体制構築に成功しており、アナログな関係からデジタルへと進化することが可能だ。しかし、そのためには政府が先頭に立って道を開く必要がある。

カテゴリー:セキュリティ
タグ:コラムランサムウェアサイバー攻撃アメリカ

画像クレジット:YinYang / Getty Images

原文へ

(文:Mark Testoni、Joseph Moreno、翻訳:Nob Takahashi / facebook

逮捕者を出したランサムウェア犯罪集団「Clop」が活動を再開

ウクライナ警察がランサムウェア犯罪集団「Clop(クロップ)」と関係があるとみられる6人の容疑者を逮捕してから数日後、この悪名高いランサムウェアの活動が再開されたようだ。

関連記事:ウクライナ警察がClopランサムウェアの容疑者6人を逮捕、米・韓国企業を攻撃

先週、ウクライナ国家警察が韓国と米国の関係者とともに行った法執行活動により、ランサムウェア「Clop」に関係しているとみられる複数の容疑者が逮捕された。国家レベルの法執行機関による大規模なランサムウェアグループの逮捕は、これが初めてのことだと思われる。

ウクライナ警察は当時、同グループが使用していたサーバーインフラを停止させることに成功したとも主張していた。しかし、この作戦は完全に成功したわけではないようだ。

逮捕者が出た後、Clopは沈黙を守っていたが、今週になってから、新たな被害者である農機具小売業者と建築士事務所から盗んだとする機密データをダークサイトで公開した(TechCrunchはそれを目にしている)。

もしこれが本物であれば(被害者とされる両者ともTechCrunchのコメント要求に応じていない)、先週行われた史上初の法執行機関による逮捕にもかかわらず、ランサムウェア犯罪集団は依然として活動を続けていることになる。これはつまり、手錠をかけられた容疑者の中に、Clopの活動で重要な役割を果たしている者が含まれていなかったためと考えられる。サイバーセキュリティ企業のIntel 471(インテル471)は、先週の逮捕が活動のマネーロンダリング部分をターゲットとしており、犯罪集団の中核メンバーは捕らえられていなかったとの見解を示している

「Clopの背後にいる中核的な人物が逮捕されたとは思えません」と、Intel 471は述べている。「Clopに与えた全体的な影響は小さかったと思われます。しかし、今回の法執行機関による逮捕は、最近DarkSide(ダークサイド)やBabuk(バブク)のような他のランサムウェアグループで見られたように、Clopブランドが放棄される結果を導く可能性もあります」。

Clopはまだビジネスを続けているようだが、このグループがいつまで活動を続けるかはまだわからない。米国の捜査当局が最近、Colonial Pipeline(コロニアル パイプライン)を攻撃したハッカーに身代金として支払われたと主張される数百万の暗号資産を回収するなど、2021年に入ってから法執行機関の活動がランサムウェアグループに数々の打撃を与えているだけでなく、ロシアは今週、米国と協力してサイバー犯罪者の居場所を突き止める活動を開始することを認めた。

ロシアはこれまで、ハッカーへの対応に関しては傍観主義的な態度を続けていた。だが、Reuters(ロイター)が米国時間6月23日に報じたところによると、ロシア連邦保安庁(FSB)のAlexander Bortnikov(アレクサンドル・ボルトニコフ)局長は、今後のサイバーセキュリティ活動においては、米国の当局と協力していくと語ったという。

Intel 471は、先週の作戦でClopの主要メンバーが逮捕されたとは考えていないと述べていたが、それは「彼らはおそらくロシアに住んでいる」からであり、ロシアは長い間、行動を起こすことを拒否していたため、サイバー犯罪者にいわゆるセーフハーバー(安全港)を与えてきた。

Clopランサムウェアが2019年初頭に初めて発見されて以来、同グループは数々の注目を集めるサイバー攻撃に関与してきた。その中には、2020年4月に発生した米国の大手製薬会社ExecuPharm(エグゼキュファーマ)の侵入事件や、最近発生したAccellion(アクセリオン)のデータ流出事件が含まれる。この事件では、ハッカーがITプロバイダーのAccellionが使用するソフトウェアの欠陥を悪用して、コロラド大学やクラウドセキュリティベンダーのQualys(クオリス)など数十社におよぶ顧客のデータを盗み出した。

関連記事:

カテゴリー:セキュリティ
タグ:逮捕警察ランサムウェアハッカー暗号資産犯罪サイバー攻撃

画像クレジット:Bryce Durbin / TechCrunch

原文へ

(文:Carly Page、翻訳:Hirokazu Kusakabe)

ウクライナ警察がClopランサムウェアの容疑者6人を逮捕、米・韓国企業を攻撃

Clopランサムウェアのギャングにつながっているとされている複数の容疑者が、ウクライナ、韓国、米国の当局による合同捜査を経てウクライナで逮捕された。

ウクライナ国家警察のサイバー部門は、首都キエフと周辺で21カ所の家宅捜索を行い、6人を逮捕したことを明らかにした。容疑者らがランサムウェア一味の仲間なのか、あるいは中心的なデベロッパーなのかは明らかではないが「二重の脅迫」スキームを展開していた罪に問われている。このスキームでは、身代金の支払いを拒んだ被害者らはファイルが暗号化される前にネットワークから盗まれたデータを公開すると脅される。

関連記事:ランサムウェアの脅威を過大評価か、2021年5月の米企業へのサイバー攻撃に対する身代金を米司法省がほぼ回収

「被告6人は米国と韓国の企業のサーバーで『ランサムウェア』のような悪意あるソフトウェアの攻撃を実行したことが立証されました」とウクライナの国家警察は声明文で主張した。

疑わしいClopランサムウェアのギャングから機器を押収した警察は、金銭上の損害は約5億ドル(約554億円)弱になると述べた。押収したものはコンピューター備品、数台の車(TeslaとMercedes含む)、現金500万ウクライナグリブナ(約2046万円)などだ。当局はまた、ギャングのメンバーが攻撃するのにこれまで使っていたサーバーインフラをシャットダウンしたと主張した。

「法執行機関が協力して、なんとかウイルスを拡散するインフラをシャットダウンし、犯罪で得た暗号資産(仮想通貨)を合法化するためのチャンネルをブロックしました」と声明文にはある。

これらの攻撃は2019年2月に始まった。韓国企業4社を攻撃し、810もの内部サービスとパソコンを暗号化した。以来「Cl0p」と表記されることが多いClopは数多くの有名なランサムウェア攻撃に関与してきた。ここには2020年4月の米製薬大手ExecuPharmの情報流出、小売店舗のほぼ半分を閉鎖することを余儀なくされた同11月の韓国eコマース大手E-Landへの攻撃などが含まれる。

Clopはまた、Accellionのランサムウェア攻撃とデータ流出にも関与している。この件ではハッカーたちはITプロバイダーAccellionの何十もの顧客からデータを盗むのに、Accellionのファイル転送アプライアンス(FTA)の脆弱性を悪用した。情報流出の被害者にはシンガポールの通信会社Singtel、法律事務所Jones Day、スーパーチェーンのKroger、サイバーセキュリティ会社Qualysなどが含まれる。

この記事執筆時点で、Clopが盗んだデータを共有するのに使うダークウェブポータルはまだ稼働中だが、数週間アップデートされていないようだ。しかし、法執行当局は通常、取り締まりがうまくいったときはターゲットのウェブサイトをロゴに変えるため、ギャングのメンバーがまだアクティブかもしれないと思わせる。

「Clopオペレーションは通信、製薬、石油・ガス、航空宇宙、テクノロジーなどさまざまな分野の世界中の組織をディスラプトし、恐喝するのに使われてきました」とMandiantの脅威インテリジェンス部門で分析担当バイスプレジデントを務めるJohn Hultquist(ジョン・ハルトキスト)氏は話した。「攻撃グループ『FIN11』はランサムウェアや恐喝などのオペレーションに強く関係してきましたが、逮捕者の中にFIN11のメンバーや、オペレーションに関係している他の人物が含まれているかどうかは不明です」。

ハルトキスト氏は、ウクライナ警察の取り組みは「ウクライナがサイバー犯罪との戦いで米国の強固なパートナーであり、ウクライナの当局が犯罪者の非難港を否定しようと努力していることのリマインダーです」と述べた。

容疑者たちはコンピューター、自動化システム、コンピューターネットワーク、通信ネットワークでの不正な干渉と、犯罪的な手段で入手した資産のロンダリングの罪で懲役8年が科される可能性がある。

逮捕のニュースは、国際法執行機関がランサムウェアギャングを厳しく取り締まっている結果だ。先週、米司法省はColonial PipelineがDarkSideのメンバーに支払った身代金の大半を回収したと発表した。

関連記事
富士フイルムにランサムウェア攻撃か、ネットワークを遮断し調査
フェイスブックがマルウェアが仕込まれた偽「PC版Clubhouse」アプリの広告を掲載
ハッカーたちが脆弱なExchangeサーバーを悪用してランサムウェアをばらまいている

カテゴリー:セキュリティ
タグ:ウクライナ逮捕警察ランサムウェアハッカー暗号資産アメリカ韓国犯罪サイバー攻撃

画像クレジット:Cyber Police Department of the National Police of Ukraine / supplied

原文へ

(文:Carly Page、翻訳:Nariko Mizoguchi

ランサムウェアの脅威を過大評価か、2021年5月の米企業へのサイバー攻撃に対する身代金を米司法省がほぼ回収

米国時間6月7日の午後、米司法省は、米国でパイプラインを運営するColonial Pipeline(コロニアル・パイプライン)が2021年5月にロシアのDarkSide(ダークサイド)と呼ばれるハッカー集団側に支払った暗号資産の身代金のうち、大半を回収したと発表した。支払われた暗号資産がハッカーグループの所有する複数のアカウント間を経由した動きを追跡し、連邦裁判所判事の承認を得て、そのアカウントの内の1つに侵入できたことで回収に成功したものだ。

2021年5月、同社へのサイバー攻撃により、主要なパイプラインが閉鎖を余儀なくされ、それが元でガソリンの買い占めによる燃料不足が引き起こされた(加えて、内部サーバーのオーバーロードとやらが原因で、その後パイプラインが再度閉鎖されたため苦境に陥った)ことを考えると、身代金回収の発表は気味の良い話であった。

しかし、実績のある連続起業家であり、政府や企業への攻撃を追跡して、独自のメディア手腕を発揮するセキュリティインテリジェンス企業Recorded Future(レコーデッド・フューチャー)を創設したChristopher Ahlberg(クリストファー・アルバーグ)氏によると、米国人はダークサイドを最初から過大評価してきたという。先に行われたインタビューの中で、同氏はダークサイドの運営方法について詳しく説明している。インタビューはここから視聴できるが、長いので会話の抜粋を以下に紹介する。

TechCrunch(以下「TC」):貴社の技術的な取り組みを大まかに教えてください。

Christopher Ahlberg(クリストファー・アルバーグ氏、以下「CA」):当社で行っているのは、インターネットをインデックスすることです。インターネットに書き込まれたすべてのデータを、電子の動きまで含めて把握しようとしています。いわば悪質なハッカーの頭の中に入り、どこで活動しているのか、彼らがデータを送信し不正なインフラを運営しているネットワーク上で何が起こっているのかを突き止めようとしているわけです。また、悪質なハッカーがさまざまな興味深い場所に残した痕跡を妨害するようにもしています。

TC:どのような顧客をお持ちですか。

CA:国防総省から世界有数の大企業まで、全部で1000ほどです。おそらく、3分の1は政府関係、別の3分の1は金融関係、残りは輸送機関を含むさまざまな業種です。

TC:貴社が提供するのは、攻撃を予測するサポートですか。それとも、手遅れになった事態で何が起きたかを突き止めるのでしょうか。

CA:両方です。

TC:どうやって危険を察知していますか。

CA:まずは、敵つまり悪質なハッカーを理解することです。大きく分けて2つの括りがあります。サイバー犯罪者と敵対する情報機関です。

ここ1、2カ月の間に世界や我々が注目している犯罪者は、ランサムウェアギャングです。彼らはロシアのギャングです。「ギャング」と聞くと、大きなグループ集団をイメージしがちですが、(しかし)通常は1人か、2~3人です。こういったギャングの規模を過大評価することはありません。

(一方で)情報機関は、非常に装備が整っており、大勢の人が(関与)しています。(我々の仕事は)1つには敵を追跡すること、もう1つは彼らが運営するネットワークを追跡すること、最後に、オンプレミスで実際のシステムにアクセスしなくても、サイバー攻撃のターゲットとなりうる人物のデータを入手することです。これら3つを、すべて自動化された方法で行います。

TC:情報機関と、これらロシア系ギャングの連絡係の間に交信があると見ていますか。

CA:簡単にいうと、我々の見解としては、これらのグループがロシアの情報機関から毎日、毎月、あるいは毎年のように任務を受けているわけではないと思います。しかし、世界の一連の国々、ロシア、イラン、北朝鮮は少し異なりますが、中国でもある程度は、政府がハッカーの成長を後押ししていることが観察されてきました。主にロシアでは、サイバー犯罪が規制されることなく野放しになっています。そして徐々に、FSB(エフエスビー)、SVR(エスブイアール)、GRU(ジーアールユー)といったロシアの情報機関が、それらのハッカーグループから人材を引き抜いたり、実際に任務を与えたりするようになりました。公式文書を見ると、長い時間をかけて、情報機関とこれらのグループがどのように結び付き、手を取り合ってきたかが分かります。

TC:サイバー攻撃の後、ダークサイドがBitcoin(ビットコイン)や決済サーバーにアクセスできなくなり、シャットダウンすると言った際には、どう思いましたか。

CA:もし、あなたがこのハッカー攻撃を仕かけた人だとしましょう。その時には、おそらくコロニアル・パイプラインが何かを全然知らなかったでしょう。「やばい、米国のあちこちの新聞に取り上げられてしまった」と思ったでしょう。そして、ロシアでおそらく数本の電話がかかってきて「なんてことをしてしまったんだ、どうやって隠そう」と考えたはずです。

一番簡単なのは「私はやっていない」というか「もうそのお金は失われた、サーバーにアクセスできなくなった」ということです。ですから、私はあれはフェイクだったと思います。痕跡を隠すために全部行っていたと思います。(そう仮定すると)後で、別の方法を試みていたこともわかっています。私たち、米国政府がすぐにこれらハッカーに反撃できると過大評価していたと思います。純粋にそう思い込んだわけですが、そんなにすぐにはできないでしょう。もちろんこれは、政府の内部情報か何かを見て言っているわけではありません。

TC:DarkSide(ダークサイド)は、フランチャイズのように運営されていて、個々のハッカーがソフトウェアを受け取り、ターンキープロセスのように使っていると書かれていました。これは新しい流れですか。今後もっと大勢の人がハッキングに関わるようになると思いますか。

CA:その通りです。ロシア系のハッカーがすごいのは地下で分散する性質を持っていることです。「すごい」というのは少し皮肉も込めてですが、実際ランサムウェアを書く人たちもいれば、彼らが提供したサービスを使って、システムに入り込みハッキングをする人たちもいます。また、ビットコインのタンブリングを通じて、ビットコインの取引を行う人もいるでしょう。興味深い点の1つは、エンドゲームで現金を手に入れるには、これらの換金処理を通らなければならないので、最終的により洗練されたビジネスになることです。マネーミュールが関係している可能性もあり、そのマネーミュールを運営する人たちもいます。彼らの多くは、クレジットカード詐欺を行っており、カードが有効かを確認したり、どうやってお金を引き出すかを考えたりするなど、一連のサービスを提供しています。これには、おそらく20種類ほどのサービスが関わっているでしょう。すべて、非常に高度に特化されています。これが、彼らが成功を収めている理由であり、対応するのが難しい理由でもあるのです。

TC:彼らは利益を分けているのでしょうか。もしそうなら、仕組みはどうなっていますか。

CA:はい、利益を共有しています。かなり効果的なシステムが運営されています。支払い方法が存在するという点で、ビットコインが、これを可能にする大きな要因となっていることは明らかです。(しかし)eBay(イーベイ)の出品者のような、ランキングや評価システムも持っています。整備された地下フォーラムが存在していて、これまでずっと彼らの運営場所となってきましたし、もしサイバー犯罪者内で詐欺を働く人がいるとすれば、それを告発することができるようなサービスも提供されています。これはインターネットと同じです。なぜインターネットがうまく機能するのか、それは非常に広く分散しているからです。

TC:貴社の顧客以外でも、安全を守りたいと思っている方々に何かアドバイスがありますか。

CA:どの業界がランサムウェアの攻撃を受けているかを示す円グラフを同僚が作ってくれました。興味深いことに、20の異なる業界にわたり、攻撃は非常に幅広く分布しています。コロニアル・パイプラインに関しては、多くの人が「ああ、石油関係ね」と思ったかもしれませんが、ハッカーはそこまで業界を気にしていません。一番動きが鈍いターゲットを狙ってきます。ですから、簡単に攻撃できるターゲットにならないことが大切です。

多くの企業が、基本を守り、システムにパッチを行い、(加えて)アップデートを確実に行っているのは良いことです。危険にさらされないよう、インターネットに置いておく情報をできるだけ減らすことです。外界と接する表面積をできるだけ狭めてください。すべての事に、取り扱うものにはすべて、強力なパスワードと二要素認証を使ってください。

簡単に狙われないための10項目から成るチェックリストを用意しました。昨今の非常に高度なギャングに対応するには十分ではないので、さらにしっかりとした対策を講じる必要がありますが、チェックリストにある基本を押さえておけば、かなりの効果が見込めます。

関連記事
富士フイルムにランサムウェア攻撃か、ネットワークを遮断し調査
コロナ後のオフィスに戻った従業員をハッカーが「おかえりなさい」フィッシングの標的に
macOSのゼロデイを悪用し密かにスクショを撮る新たなマルウェア、アカウント情報も取得可能(11.4で修正済み)

カテゴリー:セキュリティ
タグ:米司法省ランサムウェアハッカー暗号資産アメリカロシアRecorded Future

画像クレジット:Getty Images

原文へ

(文:Connie Loizos、翻訳:Dragonfly)

富士フイルムにランサムウェア攻撃か、ネットワークを遮断し調査

日本の多国籍企業、富士フイルムランサムウェアとみられる攻撃を受けた後、グローバルネットワークの一部停止を余儀なくされた。

デジタル画像プロダクトでよく知られているが、新型コロナウイルス検査迅速処理のためのデバイスなどハイテクな医療キットも製造している同社は、東京に置く本社がサイバー攻撃を受けたことを6月1日夜に確認した。

「現在、当社が利用しているサーバーに対する、外部からの不正なアクセスの疑いがあり、調査を進めております。調査のため、一部ネットワークを遮断し、外部との通信を停止しております」とウェブサイトに掲示した声明文で述べた。

「本件に関し、現時点で判明している事実と当社の対応をご報告いたします。2021年6月1日深夜に、ランサムウェアによる攻撃があった可能性を認識しました。その後、当社の海外法人と協力して影響可能性のあるすべてのシステムを遮断する措置を取りました」。

「現在、本件被害の内容や範囲等の特定を進めております。お客様、お取引先様に多大なるご迷惑およびご心配をおかけしますことを深くお詫び申し上げます」。

部分的なネットワーク遮断の結果、米国富士フイルムはウェブサイトに、現在電子メールや電話などを含むあらゆるコミュニケーション手段が影響を受けていると情報を追加した。先の発表では、サイバー攻撃によって注文を受けたり処理したりすることができなくなっていることも明らかにしていた。

富士フイルムはTechCrunchのコメントの求めにまだ応じていない。

富士フイルムは攻撃に使われたランサムウェアの身元など詳細については固く口を閉ざしているが、Bleeping Computerは富士フイルムのサーバーがQbotに攻撃されたと報じている。Advanced IntelのCEO、Vitali Kremez(ヴィタリ・クレメツ)氏はBleeping Computerに、富士フイルムのシステムは2021年5月、13年前から出回るようになったトロイの木馬によって攻撃されたと語った。この攻撃は通常フィッシングで始まる。

QakBotあるいはQuakBotとしても知られるQbotのクリエイターらは、ランサムウェアオペレーターと提携してきた長い歴史を持つ。以前はProLockとEgregorというランサムウェアギャングとも協業していたが、最近では悪名高いREvilグループとつながっていると言われている。

「初期のフォレンジック分析では、富士フイルムへのランサムウェア攻撃は先月Qbotのトロイの木馬感染で始まり、それを足掛かりにハッカーたちは2つめのランサムウェアペイロードを仕かけたと思われます」とProPrivacyのデジタルプライバシー専門家Ray Walsh(レイ・ウォルシュ)氏はTechCrunchに語った。「直近ではQbotのトロイの木馬はREvilハッキング集団によって活発に悪用されていて、ロシア拠点のハッカーたちが今回のサイバー攻撃の背後にいる可能性はかなり高いようです」。

Sodinokibiとしても知られるREvilは被害者のファイルを暗号化するだけでなく、被害者のネットワークからデータを抜き取る。ハッカーらは通常、身代金が支払わなければ被害者のファイルを公開すると脅す。しかしREvilが盗んだデータを公開するのに使用するダークウェブにあるサイトは、この記事執筆時点でオフラインだった。

ランサムウェア攻撃は新型コロナウイルスパンデミックが始まって以来、増加の一途を辿っていて、サイバー犯罪で最大の金を稼ぐ手法となった。脅威ハンティングとサイバーインテリジェンスのGroup-IBは、ランサムウェア攻撃の件数は2020年に150%超増え、要求する身代金は2倍超の17万ドル(約1875万円)に増えたと推定する。

富士フイルムがシステムへの攻撃に関与したハッカーたちに身代金を支払ったかどうか、現時点では不明だ。

関連記事
コロナ後のオフィスに戻った従業員をハッカーが「おかえりなさい」フィッシングの標的に
【コラム】パブリッククラウドにおけるセキュリティ課題の解決に向けて
アップルM1チップで「修正できない脆弱性」CVE-2021-30747が発見される、ただし悪用は困難

カテゴリー:セキュリティ
タグ:富士フイルムランサムウェアフィッシングハッカーサイバー攻撃

画像クレジット:Kazuhiro Nogi / AFP / Getty Images

原文へ

(文:Carly Page、翻訳:Nariko Mizoguchi

フェイスブックがマルウェアが仕込まれた偽「PC版Clubhouse」アプリの広告を掲載

TechCrunchが入手した情報によると、サイバー犯罪者らは、PCユーザー向けのClubhouseアプリを装ったFacebookの広告多数掲載し、無防備な被害者を狙ってマルウェアを仕込んでいるという。

TechCrunchが米国時間4月7日に得た警告によると、いくつかのFacebookページに結びついている複数の広告がClubhouseになりすましているという。ClubhouseはiPhoneでしか利用できないオーディオチャットアプリだ。広告をクリックすると偽Clubhouseのウェブサイトが開き、そこには存在しないPCアプリがどのように表示されるかという偽のスクリーンショットと、悪意あるアプリのダウンロードリンクが表示される。

悪意のあるアプリを開くと、コマンド&コントロールサーバーと通信して、次に何をすべきかの指示を得ようとする。このマルウェアをサンドボックス解析したところ、隔離されたマシンにランサムウェアに感染させようとしていたことがわかった。

しかしひと晩経つと、ロシアでホストされていたClubhouseの偽サイトはオフラインになっており、それにともないマルウェアも動作を停止していた。4月8日にサンドボックスでこのマルウェアをテストしたGuardicoreのAmit Serper(アミット・サーパー)氏によると、このマルウェアはサーバーからエラーを受け取り、それ以上は何もしなかったという。

偽ウェブサイトはClubhouseの本物のウェブサイトのように見せるよう設定されていたが、悪意あるPCアプリを搭載していた(画像クレジット:TechCrunch)

サイバー犯罪者たちが人気の高いアプリの成功に便乗して、自分たちのマルウェアで犯行を行うことは珍しくない。Clubhouseは招待制であるも関わらず、世界で800万回以上ダウンロードされたと報じられている。その需要の高まりを受けて、アプリをリバースエンジニアリングして海賊版を開発し、Clubhouseのゲートウォールだけでなく、アプリがブロックされている政府の検閲も逃れようとする動きが活発になっている。

関連記事
ソーシャルオーディオアプリClubhouseが800万ダウンロード超え、2021年2月前半に急増
Clubhouseのリバースエンジニアリング競争で高まるセキュリティ上の懸念

Clubhouseを装ったFacebookの各ページは、わずかに「いいね!」されているだけだが、本稿執筆時にはまだアクティブだった。Facebookは、Clubhouseの偽ウェブサイトを示す広告をクリックしたアカウント数は発表していない。

米国時間4月6日から6日にかけて、少なくも9つの広告が設置された。一部の広告は「これからはClubhouseをPCで使えます」と述べている。また、共同創業者のPaul Davidson(ポール・デヴィッドソン)氏とRohan Seth(ローハン・セス)氏の写真を載せているページもある。Clubhouseは、コメントの求めに応じなかった。

広告はFacebook’s Ad Libraryから削除されたが、コピーがこれだ。そもそも広告がFacebookのプロセスをどのように通過したのかも不明だ。

関連記事
Facebookは広告ツールの誤動作でまたしても評判に傷がつく
「システムアップデート」を装ったAndroidの新たなスパイウェアはデバイスを完全に制御する

カテゴリー:セキュリティ
タグ:FacebookClubhouseマルウェアランサムウェア広告Facebook広告

画像クレジット:SOPA Images/Getty Images

原文へ

(文:Zack Whittaker、翻訳:Hiroshi Iwatani)

ハッカーたちが脆弱なExchangeサーバーを悪用してランサムウェアをばらまいている

Microsoft(マイクロソフト)からの警告によると、ハッカーがメールサーバーExchangeに最近見つかった脆弱性を悪用してランサムウェアを投下。それにより数万台のメールサーバーに破壊攻撃のリスクが生じている。

米国時間3月11日午後のツイートでこのテクノロジー大手は、DoejoCrypt(あるいはDearCry)と呼ばれる新種のファイル暗号化マルウェアを検出したと発表した。それは以前Microsoftが、Hafniumと呼ばれる中国が支援する新たなハッキンググループと結びつけた同じ4つの脆弱性を利用している。

関連記事:中国の国家ハッカーがExchange Serverの脆弱性をゼロデイ攻撃、マイクロソフトが警告

それら4つをつなぐとハッカーは、脆弱なシステムを完全にコントロールできるようになる。MicrosoftによるとHafniumは、これらの欠陥を悪用している「主犯的な」集団で、スパイ行為や諜報収集のために犯行を重ねているとみられる。しかし複数のセキュリティ企業によると、その他のハッキンググループも同じ欠陥を攻撃していることを彼らは確認している。ESETによると、少なくとも10のグループがExchangeサーバーを活発に侵犯している。

ランサムウェアによる暗号化を解くツールを開発しているランサムウェアのエキスパートであるMichael Gillespie(マイケル・ギレスピー)氏によると、多くの脆弱なExchangeサーバーが米国とカナダとオーストラリアにあり、DearCryに感染している。

関連記事:流行中のランサムウェア「Stop」による暗号化を復号する新ツール群

Exchangeサーバーがランサムウェアにやられた可能性がある。ランサムウェアは「.CRYPT」とファイルメーカー「DEARCRY!」の名で大量に出回り、ざっと見ると米国とカナダ、オーストラリアのExchangeサーバーのIPからが多い。

この新しいランサムウェアは、セキュリティ研究者がMicrosoftがオーナーであるGitHubに、脆弱性を悪用するコードのPoC(概念実証)を発表してから1日足らずで登場している。そのコードは、同社のポリシーに違反しているとして、すぐに削除された

Kryptos Logicのセキュリティ研究家Marcus Hutchins(マーカス・ハッチンズ)氏はツイートで、そのPoCノードは動いたが、若干の手直しが必要だったと述べている。

セキュリティの危機を検知する企業(脅威インテリジェンス企業)であるRiskIQによると、3月11日に脆弱なサーバーを8万2000台検出したが、その数は現在、減っている。同社によると、銀行やヘルスケア企業の数百台のサーバーが今なお侵されており、米国政府の約150台もやられている。Microsoftが3月2日にこの脆弱性を公表した際、脆弱なサーバーは40万台近く存在していたため、急速な減少ということができる。

Microsoftは先にセキュリティフィックスを発行したが、そのパッチでは、すでに侵されているサーバーからハッカーを駆逐することはできない。米国政府のサイバーセキュリティ顧問に相当するFBIとCISAは、この脆弱性が全米の企業に重大なリスクをもたらすと警告している。

FireEyeの脅威インテリジェンス部門Mandiantの分析担当副社長であるJohn Hultquist(ジョン・ハルトキスト)氏は、今後はもっと多くのランサムウェア集団がはびこると予想している。

「パッチが適用されていない組織の多くは、サイバースパイ行為者によって悪用された可能性がある。ランサムウェアの犯罪的な操作は、組織を混乱させ、さらには盗まれた電子メールを公開することで被害者をゆすることもあり、より大きなリスクをもたらす可能性がある」とハルトキスト氏は語る。

カテゴリー:セキュリティ
タグ:Microsoftランサムウェアハッキング

画像クレジット:Bryce Durbin/TechCrunch

原文へ

(文:Zack Whittaker、翻訳:Hiroshi Iwatani)

カリフォルニア州車両管理局がデータ流出を警告、請負業者がランサムウェアに襲われる

カリフォルニア州車両管理局(DMV)は、請負業者がランサムウェアに襲われたことを受け、データ漏洩の可能性があると警告している。

DMVによると、2019年から全国データベースでの住所変更の確認に使われているシアトル拠点のAutomatic Funds Transfer Services(AFTS)が、2021年2月初めにランサムウェアに襲われたという。

メールで送られた声明の中で、DMVは今回の攻撃によって「過去20カ月分の名前、住所、ナンバープレート番号、車両識別番号(VIN)を含むカリフォルニア州の車両登録記録」が流出した可能性があると述べた。しかし、DMVはAFTSは顧客の社会保障番号(SSN)、生年月日、有権者登録、在留資格、運転免許証の情報にアクセスすることはできないため、それらは危殆化していないと述べている。

DMVによると、AFTSへのデータ転送は現在すべて停止しており、ダウンタイムを防ぐために緊急契約を開始したという。

AFTSは支払いや請求書の処理、住所の確認などに全米で使用されている。すでにいくつかの自治体データ漏洩の影響を受けていることを確認しており、カリフォルニア州DMVに限った攻撃ではない可能性を示唆している。

TechCrunchの取材に対し、セキュリティ企業Emsisoftのランサムウェア専門家で脅威アナリストのBrett Callow(ブレット・キャロウ)氏は、「Cuba」ランサムウェアグループが攻撃の背後にある可能性が高いと語った。TechCrunchは、Cubaランサムウェアグループが使用していることが知られているダークウェブサイトが被害者としてAFTSをリストアップし、同グループが「財務書類、銀行員との通信、口座の動き、貸借対照表(および)税務文書」を盗んだ、と主張していることを確認できた。

Cubaのランサムウェアサイトは、AFTSから内部の財務データや税金データをハッキングして盗んだと主張している(スクリーンショット:TechCrunch)

ランサムウェアは通常、企業のファイルを暗号化し、身代金と引き換えにファイルのロックを解除する。しかし、多くの企業にはバックアップがあるため、一部のランサムウェアグループは社内の機密データを盗み出し、身代金が支払われない限り、盗まれたファイルをオンラインで公開すると脅す手段に出る。

「Cubaは2019年12月に最初に注目された、データ窃取ランサムウェアグループです」とキャロウ氏はTechCrunchに語った。「しかし、彼らが公開しているデータの一部はそれより何カ月も前に盗んだと主張しているので、それ以前から活動していた可能性があります。このランサムウェアは暗号化型(secure)で、暗号化されたデータは、身代金が支払われない限り復元できないことを意味します。ほとんどのグループが単に盗んだデータを公開するのに対し、Cubaは場合によってはデータを売ろうとします。ただし、それが成功しているかどうかは不明です」。

Emsisoft独自の調査によると、2020年の間に1300以上の公的機関や民間企業のデータがリークサイトで公開されていたとキャロウ氏はいう。「他の多くの組織は、公開を防ぐためにお金を払っているでしょう」と同氏は述べている。「これは非常に大きな問題であり、断固とした行動が取られない限り、悪化する可能性が高い事態です」。

TechCrunchはCubaランサムウェアグループにコメントを求めたが、まだ返答はない。

AFTSからはすぐにコメントを得ることができなかった。同社のウェブサイトはオフラインのままで、短いメッセージが表示されている。「AFTSのウェブサイトと関連するすべての決済処理ウェブサイトは、技術的な問題により利用できません。可能な限り速やかに復旧させるよう努力しています」。

カリフォルニア州車両管理局のSteve Gordon(スティーブ・ゴードン)局長は次のように述べている。「DMVと契約している企業が保有する情報を保護するため、セキュリティを強化するための追加対策を検討しています」。

2020年、カリフォルニア州のDMVは、保釈保証人や私立探偵などに運転者の個人情報を売ることにより、年間5000万ドル(約52億8000万円)以上の収益を得ていると報じられた

カリフォルニア州には、3500万台以上の登録車両がある。

【更新(米国時間2月19日)】Emsisoftから得られたCubaランサムウェアに関する情報を更新した。

関連記事:

カテゴリー:その他
タグ:カリフォルニア州車両管理局ランサムウェアデータ漏洩

画像クレジット:Justin Sullivan / Getty Images

原文へ

(文:Zack Whittaker、翻訳:TechCrunch Japan)

「サイバーパンク2077」のCD Projektがランサムウェア攻撃を受けるも身代金支払いは拒否

「Cyberpunk 2077(サイバーパンク2077)」や「The Witcher(ウィッチャー)」を開発したポーランドのゲームデベロッパーのCD Projektは、ランサムウェアの攻撃を受けたことを認めた。

CD ProjektはTwitterアカウントの投稿の中で、ハッカーとは「譲歩も交渉もしません」とし、バックアップが存在すると伝えている。「私たちはすでにITインフラを保護し、データの復元を開始しています」と同社は述べている

要求によると、身代金を支払わなければハッカーらはCD Projektの盗まれたソースコードと他の内部ファイルを公開するとしている。しかし同社は「バックアップからリカバリーできる可能性が高いだろう」と述べている。

なお現在のところ、CD Projektは個人データは盗まれていないと述べている。「私たちは事件の調査を続けていますが、我々の知る限り現時点では、漏洩したシステムにはプレイヤーやサービスに関連する個人データは含まれていないことが確認されています」。

これは、ランサムウェアの実行者が用いる敵対的な戦術だ。ハッカーはファイルを暗号化するマルウェアを使って価値の高い企業や企業をターゲットにし、身代金を要求してファイルを保持する。しかし多くの企業がバックアップを保存しているため、身代金が支払われない限り盗まれたファイルを公開すると脅すランサムウェアグループもある。

関連記事:悪名高いランサムウェアグループのMazeが「正式閉鎖」を宣言

CD Projekt Redは、同社のシステムを攻撃するためにどのようなランサムウェアが使用されたのかといったTechCrunchから質問に返答していない。

CD Projektがランサムウェアの標的となったのは、ここ数年で2回目だと考えられる。同ディベロッパーは2017年にハッキングにより、「サイバーパンク2077」に関連する初期の作業が侵害されたことを確認している。なお同タイトルの発売後の数週間、Sony(ソニー)とMicrosoft(マイクロソフト)は古いゲーム機でのバグやパフォーマンスの悪さを理由に、プレイヤーに返金を申し出ている。

関連記事:「サイバーパンク2077」が大量のバグで販売停止、開発元CD Projekt Redとソニー、マイクロソフトが返金受付中

カテゴリー: ゲーム / eSports
タグ:CD Projekt Redランサムウェア

画像クレジット:Philip Fong / Getty Images

原文へ

(文:Zack Whittaker、翻訳:塚本直樹 / Twitter

不妊治療の米最大手US Fertilityがランサムウェアで患者データを奪われたと発表

米国最大級の不妊治療クリニックのネットワークであるU.S.Fertilityがランサムウェアに攻撃されデータが奪われたことを確認した。

このネットワークは2020年5月、東海岸数十カ所に不妊治療クリニックを有するShady Grove Fertilityとヘルスケア分野を主力投資先とする未公開株式ファンドのAmulet Capital Partnersとの合弁事業として設立された。U.S. Fertilityは現在カリフォルニアを含む全米55カ所のクリニックをネットワーク傘下としている。

「ハッカーがシステム内に侵入して一部のファイルを取得した後、9月14日にランサムウェアが起動された」とU.S. Fertilityは発表した。システム乗っ取り後、データの暗号化までに時間を置くのはランサムウェア攻撃でよく見られる手法だ。また一部のランサムウェアは被害者が身代金の要求に応じない場合、盗んだファイルをウェブサイトに公開することがある。

U.S. Fertilityは、住所、氏名などの重要な個人情報が盗まれたことを認めた。患者の一部の社会保障番号も奪われたという。加えてこの攻撃では「保護された健康情報もターゲットとなっている可能性がある」と警告した。米国の法律では検査結果や医療記録など個人の健康状態や病状に関する医療情報をデーベースに含めることができる。

同社の広報担当は事件についてのコメントの要求にすぐに応答しなかったが、11月26日は米国の全国的祝日(感謝祭)だった。

U.S. Fertilityは、ランサムウェアによる被害を公表するまでなぜ2カ月以上かかったかを明らかにしていないが、捜査機関の要請によるものではなかったと述べている。

これはヘルスケア事業を標的としたランサムウェア攻撃の最新の例だ。2020年9月には米国最大級の病院システム、UHS(Universal Health Services)が、Ryukランサムウェアの被害に遭った。これにより一部の救急治療室を閉鎖し患者を搬出せざるを得なかった。他の不妊治療クリニックもここ数カ月で何カ所かランサムウェアの攻撃を受けている(FOX 9記事)。

関連記事:米国の医療最大手UHSがランサムウェア攻撃を受ける、治療への影響や拡散範囲など不明

カテゴリー:セキュリティ
タグ:ランサムウェア

画像クレジット:Jonas Gratzer/ Getty Images

原文へ

(翻訳:滑川海彦@Facebook

「バイオハザード」のCapcomがランサムウェア感染し、データ漏洩

「バイオハザード」や「ストリートファイター」などのゲームタイトルを展開するCapcom(カプコン)は、2020年11月初めに発生したランサムウェア攻撃により、ハッカーが社内ネットワークから顧客データやファイルを盗み出したことを確認したと発表した。

サイバー攻撃の直後の数日間、カプコンは顧客データにアクセスされたという証拠はない(カプコンリリース)と述べていたが、一転して顧客データが盗まれたことを確認したという。

カプコンは声明の中で、氏名、住所、電話番号、場合によっては生年月日など、35万人もの顧客データが盗まれた可能性があると述べている。同社によると、ハッカーは氏名、住所、生年月日、写真などを含む社内の財務データや、現在および過去の従業員の人事ファイルも盗み出したという。またビジネスパートナーや販売、開発に関する文書を含む「企業の機密情報」も盗まれたとのこと。

カプコンによると、決済は外部の会社が行っているため、クレジットカード情報は盗まれていないという。

なおカプコンは、今回のサイバー攻撃で内部ログが失われたことで、盗まれたデータの容量は「具体的に確認できない」と表明している。

カプコンは今回の被害について謝罪している。声明文には、「お客様はじめ多くのご関係先にご迷惑とご心配をおかけしておりますことを、深くお詫び申しあげます」と記載されている。

同社は米国時間11月2日にランサムウェア 「Ragnar Locker」 の攻撃を受け、ネットワークを遮断した。Ragnar Lockerはデータを盗むランサムウェアで、ネットワークを暗号化する前に被害者からデータを抜き取り、身代金が支払われない限り盗まれたファイルを公開すると脅す。そうすることで、たとえ被害者がファイルやシステムをバックアップから復元したとしても、ランサムウェアグループは企業に身代金の支払いを要求することができる。

Ragnar Lockerのウェブサイトにはカプコンから盗まれたとされるデータが掲載されており、同社が身代金を支払わなかったことを示唆するメッセージが表示されている。

カプコンは欧州のGDPRデータ侵害通知規則に基づき、日本とイギリスのデータ保護規制当局に通知したという。GDPRの規則に違反した場合、企業は年間売上の4%までの罰金を科せられる可能性がある。

カテゴリー:ゲーム / eSports
タグ:カプコンランサムウェアデータ漏洩
画像クレジット:Chesnot / Getty Images

原文へ

(翻訳:塚本直樹 / Twitter

悪名高いランサムウェアグループのMazeが「正式閉鎖」を宣言

最も活発で悪名高い、データを盗むランサムウェアグループの1つであるMazeは「正式に閉鎖した」と述べた。

この発表は、スペルの間違いに満ちた冗長な声明としてダークウェブのウェブサイトに公開された。Mazeは過去1年間、対象企業から盗んだ膨大な量の社内文書やファイルを公開した。Cognizant(コグニザント)、サイバーセキュリティー保険会社のChubb(チャブ)、製薬大手のExecuPharm(エグゼキュファーム、未訳記事)、Tesla(テスラ)やSpaceX(スペースX)の部品サプライヤーであるVisser(ビセール)、防衛請負業者のKimchuk(キムチャック、未訳記事)などが標的となった。

典型的なランサムウェアグループは被害者をファイル暗号化マルウェアに感染させ、身代金のためにファイルを保持する。Mazeは最初に被害者のデータを盗み出し、身代金を支払わないなら盗んだファイルを公開すると脅迫する手法で悪評を高めた。

被害者が支払いを拒否すれば盗んだファイルをリークするという手法は、ランサムウェアグループが好む戦術となった(未訳記事)。そうしたグループは多くの場合、ダークウェブ上にウェブサイトをもっている。

Mazeは当初、エクスプロイトキット(ハッキングツールの1つ)とスパムキャンペーンで被害者を感染させたが、その後既知のセキュリティ脆弱性につけ込み、特に有名企業を標的にした。Mazeは脆弱な仮想プライベートネットワーク(VPN)やリモートデスクトップ(RDP)サーバーを狙って、被害者のネットワークに対して標的型攻撃を仕掛けることで知られていた(ZDNet記事)。

要求した身代金のうち数件は数百万ドル(数億円)に達した。伝えられるところによるとMazeはジョージアに本拠を置く1つのワイヤーとケーブルのメーカーに600万ドル(約6億3000万円)を要求し(BleepingComputer記事)、匿名の組織のネットワークを暗号化した後に1500万ドル(約16億円)を要求した(Sophos記事)という。しかし、2020年3月に新型コロナウイルスがパンデミックと宣言された後、Maze(および他のランサムウェアグループ)は病院や医療施設を標的にしない(BleepingComputer記事)と約束した。

しかし、まだセキュリティの専門家が喜べる状況ではない。結局のところ、ランサムウェアギャングは依然として犯罪企業であり、その多くは利益で動く。

Mazeランサムウェアグループによるシャットダウンしたと主張する声明(スクリーンショット:TechCrunch)

「もちろん、Mazeの主張は少し疑ってかかるべきです」とセキュリティ企業Emsisoft(エミソフト)のランサムウェアの専門家でサイバー脅威のアナリストであるBrett Callow(ブレット・キャロウ)氏はいう。「同グループは、店を閉め、沈む夕日に向かって船を出すのに十分な金を稼いだと感じている可能性は確かにあります。ただし、ブランドを変更すると決めた可能性もあり、おそらくその可能性が最も高いと思われます」。

キャロウ氏は、同グループの外見上の解散は、同グループのつながりや他のグループとの関わりについて未回答の質問を残したと述べた。「Mazeのオペレーションは提携で成り立っていた。犯行パートナーが引退する可能性は低く、代わりに単に別のグループと連携するでしょう」と同氏はいう。

Mazeは声明の中で同グループがランサムウェアグループの「カルテル」であることは否定したが、専門家は同意していない。Akamai(アカマイ)のセキュリティ研究者であるSteve Ragan(スティーブ・ラガン)氏は、MazeがRagnar LockerやLockBit ransomware-for-hireなどの他のランサムウェアからのデータをウェブサイトに投稿することで知られていると述べた。

「チームがなくなった、またはカルテルがなかったふりをしているが、まったく正反対です。そうしたグループは明らかに多くのレベルで協力していました」とラガン氏は述べた。

「この欠点、そして他の重要な点は何も変わらないということです。ランサムウェアは存在し続けています」とラガン氏は述べた。「犯罪者は依然としてオープンアクセス、野ざらしのRDP(リモートデスクトッププロトコル)、VPNポータルを標的にしており、インターネット上の無防備な被害者への感染を期待して、悪意のある添付ファイル付きの電子メールを送信しています」と同氏は説明した。

FireEye’s(ファイアアイズ)のMandiant(マンディアント)サイバー脅威インテリジェンスユニットのJeremy Kennelly(ジェレミー・ケネリー)氏は、Mazeブランドは死んだ可能性があるが、その運営者が永久に消えてなくなる可能性は低いと述べた。

「Mazeランサムウェアサービスを有効にするために協力した個人やグループの多くは、既存のランサムウェアサービスのサポートに取り組むか、将来的には新しいオペレーションをサポートするかのいずれかで、同様のオペレーションに従事し続ける可能性が高いと確信しています」とケネリー氏は述べた。

関連記事
米セキュリティー保険大手のChubbがランサムウェア「Maze」の攻撃を受けデータを盗まれる
テスラやSpaceXと取引がある精密部品メーカーからデータ流出

カテゴリー:セキュリティ
タグ:ランサムウェアMaze

画像クレジット:Anton Eine / EyeEm / Getty Images

原文へ

(翻訳:Mizoguchi

米国の医療最大手UHSがランサムウェア攻撃を受ける、治療への影響や拡散範囲など不明

米国の病院・医療サービス最大手であるUniversal Health Services(UHS、ユニバーサル・ヘルス・サービス)がランサムウェア攻撃を受けた。

UHSのシステムを狙った攻撃は米国時間9月28日の朝に起こり、カリフォルニア州とフロリダ州をはじめとする全米のUHS施設でコンピューターと電話システムが停止した。本件を直接知る2名の情報による。

ある人物の話によると、パソコンの画面が「shadow universe」を参照するテキストに切り替えられたとのことで、これはランサムウェア「Ryuk」の振る舞いと一致している。「全員パソコンの電源を切り、再度電源を入れないようにと注意され、パソコンが使えるようになるまでに何日かかかるといわれた」とその人物は話した。

ランサムウェア攻撃が、患者への治療にどのような影響を及ぼしたのか、どの程度この問題が拡散したのかはわかっていない。

UHSは9月28日に声明を発表し、同社のITネットワークが「ITセキュリティー問題のため現在オフラインになっている」ことを伝えている。

「当社は広範囲にわたるITセキュリティープロトコルを実装し、ITセキュリティーパートナーの協力を得て、IT運用のできるだけ早い復旧を目指して取り組んでいる。なお、当社施設はオフラインドキュメント方式などのバックアップシステムを利用している。患者への治療は引き続き安全かつ効果的に行われている」と声明で述べられている(UHSリリース)。

また「患者あるいは職員のデータがアクセス、コピーその他の不正操作を受けた形跡はない」と同社は付け加えた。

米国の別の病院システムでサイバーセキュリティーを監督しているある幹部は匿名を条件に、患者の医療データは「おそらく安全」である、なぜならUHSは医療技術会社のCernerに患者の電子カルテ管理を依頼しているからだ、と述べた。

UHSの広報担当者であるJane Crawford(ジェーン・クロフォード)氏はTechCrunchのコメント依頼に答えなかった。

UHSは米国および英国に400カ所以上の病院と医療施設を持ち、毎年数百万人の患者にサービスを提供している。

ランサムウェア「Ryuk」はロシアのWizard Spiderと呼ばれるサイバー犯罪グループと繋がりを持っている、とセキュリティー会社のCrowdstrike(CrowdStrikeブログ)はいう。Ryukの首謀者は「big game hunting」(大物狩り)で知られており、これまでに運送大手のPitney Bowes(未訳記事)や米国沿岸警備隊(ZDNet記事)などの大きな組織を標的にしてきた。

2020年に一部のランサムウェア攻撃犯が、新型コロナウイルス(COVID-19)によるパンデミック期間中は医療組織や病院を攻撃しないと宣言していたが、そこにRyukの犯人は宣言していない(Bleeping Computer記事)。

先週、ドイツの警察は、ランサムウェア攻撃の後に転院した女性が死亡したことを受け、殺人事件として捜査を開始した(BBC News記事)。

カテゴリー:セキュリティ

タグ:UHS ランサムウェア Ryuk

画像クレジット:Newsday LLC / Getty Images

原文へ

(翻訳:Nob Takahashi / facebook

サイバー脅威スタートアップのCygilantがランサムウェア「NetWalker」に襲われる、身代金は支払い済みか

脅威検知サイバーセキュリティ企業のCygilant(サイジアント)がランサムウェア攻撃を確認した。同社のCFO(最高財務責任者)であるChristina Lattuca(クリスティーナ・ラトゥカ)氏は声明で「Cygilantの技術環境の一部に影響を与えるランサムウェア攻撃を確認した」とコメントしている。

「当社のサイバーディフェンスおよびレスポンスセンターチームは、攻撃の進行を食い止めるために迅速かつ断固とした行動をとりました。私たちは、第三者の分析・鑑識官や法執行機関と緊密に協力して、攻撃の完全な性質と影響を理解しています。Cygilantは、当社のネットワークの継続的なセキュリティと、当社のセキュリティプログラムのあらゆる側面を継続的に強化することに尽力しています」と述べている。

セキュリティ会社のEmsisoftのランサムウェア専門家であり脅威アナリストであるBrett Callow(ブレット・キャロウ)氏によると、Cygilant は「ランサムウェア・アズ・ア・サービス」グループであるNetWalkerの最新の被害者であると考えられている。

ファイル暗号化マルウェア自体は、被害者のファイルをスクランブル化するだけでなく、ハッカーのサーバーにデータを流出させる。身代金が支払われない場合、ハッカーは通常被害者のファイルを公開すると脅す。

NetWalkerランサムウェアグループに関連するダークウェブ上のサイトでは、Cygilantに関連していると思われる内部ネットワークファイルとディレクトリのスクリーンショットが掲載されていた。Cygilantは、身代金を支払ったかどうかは明言していない。しかし、記事執筆時点ではCygilantのデータが掲載されたダークウェブのリストは消えていた。

「グループは、彼らが支払ったときに企業を永久にリストから外すか、場合によっては彼らが交渉のテーブルに来ることに同意した後、一時的にリストから外す。NetWalkerは少なくともほかの1件で交渉中の企業を一時的に上場廃止に追い込んでいる」とキャロウ氏は述べた。

画像クレジット:Wikimedia Commons

原文へ

(翻訳:TechCrunch Japan)

Tesla Gigafactoryがランサムウェア攻撃の標的に、おとり捜査で容疑者は逮捕

Elon Musk(イーロン・マスク)氏は、Tesla(テスラ)に対して試みられたそのサイバー攻撃を「深刻」と形容した。そのコメントは、同社がネバダ州リノの近くの巨大な工場で、結果的には失敗したランサムウェアのターゲットになったことを認めている。

司法省が米国時間8月27日に発表した訴状は、ネバダ州スパークスの某企業に対する事前に阻止されたマルウェア攻撃を記述している。テスラはスパークスに工場があり、バッテリーのセルやパック、そして電動モーターを作っている。訴状にテスラの名はないが、ElectrekやTeslaratiなどいくつかのブログがターゲットが同社だったと報告している。

TESLARATI:テスラ社員は100万ドルの支払いを見送り、FBIと協力してサイバーセキュリティ攻撃を阻止

Elon Musk:ほんとうにありがとう。これはかなり深刻な攻撃だった。

司法省によると、ロシア国籍の27歳の青年、Egor Igorevich Kriuchkov(エゴール・イゴレビッチ・クリチュコフ)がテスラの社員を贈賄し、マルウェアを同社のネットワークに仕込もうとした。

そのマルウェアがランサムウェアをインストールするという設計で、後者は被害者のファイルを暗号化して、元に戻すための身代金(ランサム)を要求する。訴追者によるとランサムウェアの手口は進化していて、最近流行っているのは被害者のファイルを暗号化するだけでなく、そのデータをハッカーのサーバーに取り込む。そして身代金を払わないとデータを公開するぞと脅す。

テスラのGigafactoryと呼ばれている工場でクリチュコフはその社員に会い、彼に100万ドル(約1億600万円)を渡してマルウェアをコンピューターのネットワークに導入するよう求めた。その社員はテスラに報告し、テスラはFBIに通知した。FBIはその社員をおとり捜査に使っていたのだ。

その後、クリチュコフは8月22日に逮捕された。

画像クレジット:Smnt/Wikimedia Commons CC BY-SA 4.0のライセンスによる

[原文へ]

(翻訳:iwatani、a.k.a. hiwa