今更ながらですが、Securit Nextに中部大学がランサム被害を受けた件に気づきましたので取り上げます。
www.security-next.com
■公式発表
お知らせ 本学情報工学科管理のパソコンのコンピューターウイルス感染について 中部大学
この度、本学工学部情報工学科のパソコン(1台)及びファイルサーバーがランサムウェアに感染しデータが暗号化される被害が確認されました。この暗号化されたパソコン及びファイルサーバーには授業受講者名簿及び行事参加者名簿などの個人情報が格納されていました。
1.感染判明の状況
平成30年1月9日午後2時頃、情報工学科研究室のPC、研究室のファイルサーバ(NAS)に対して、同日午前2時30分頃、不正なログインが実行されたことが判明し、直ちに関係の機器をネットワークから遮断いたしました。
同PCをターゲットとして行われた行為としては
(1) ウィルスチェックソフトのアンインストール
(2) ランサムウェアのインストール
が行われたものと推測されます。
(公式発表より引用)
◆キタきつねの所感
最初に公式発表を見た時に、『この暗号化されたパソコン及びファイルサーバーには・・・』という記載を見て、ちゃんと(大学側がセキュリティ策として)暗号化したシステムだったんだと感心したのですが、公式発表ととSecurityNextの記事の文脈から、HD暗号化したものが襲われた訳ではなく、普通のHD/NASがランサムで暗号化されてしまった事件だと気づきました。
とは言え、時系列を見ると、大学側の防衛としては非常にうまくやっている方だと思います。1月9日のPM2時に侵入が試みられ、PM2時半に不正ログインを検知している訳ですから、防衛・検知・回復の観点で言えば非常に対応が早かったといえます。(PC起動していた学生か教員が居て、意外と早く攻撃を検知できたのかも知れません)
とは言え、不正ログインが実行された、という部分だけ切り出せば大学側は脆弱性を抱えていた事も間違いありません。まず考えられるのが研究室のPCやファイルサーバ(NAS)に対する不正ログイン・・という事からリモートログインが出来たのだろうと言う事が推測されます。そして外部から不正にリモートログイン試行が出来る、、という事は不正アクセスを受けた事から、多要素認証は使われてなかったのだろうという事も併せて推測できます。
仮にリモートログインが出来なかったとしても、外部から大学内部に入るルートがあった事になりますので、閉域網の穴(設定ミス・パッチ当て不備等)があった事になってしまいます。別な侵入経路としてはマルウェアメールを踏んで・・・という可能性がありますが、その場合は大学の研究室だけが被害を受ける事も無いはずで、メールの添付ファイルやメールに残るアドレス等の個人情報から、公式発表はもっと影響があると書かれるのが妥当でしょう。その他に考えられそうなのは・・・内部犯行ですが、研究室にランサムを内部から仕掛けるよりも、もっと色々なやり方がありそうな気もしますので、少し可能性としては薄い気がします。
今回の攻撃は、不正ログインを非常に早く検知できたことから事件の影響は軽微で終わるであろうと思われますが、たまたまランサム攻撃だったので個人情報漏えい等の被害が出なかったのだけで、普通に情報窃取を狙う攻撃だったら検知も遅れた可能性もある訳ですから、不正侵入を受けたルートについては詳細調査の上で、穴を防ぐ(※リモートアクセスには多要素認証を!)事が必要なのかと思います。
参考:
foxsecurity.hatenablog.com
更新履歴
