Fox on Security

セキュリティリサーチャー(インシデントアナリスト)で、セキュリティコンサルタントのキタきつねの独り言。専門はPCI DSS。諸々のお問合せ(取材、執筆、各種お問合せ等)はフォックスエスタ (https://foxestar.hatenablog.com/)をご覧ください。

PGAもBitPaymer被害を受ける

松山英樹選手の情報も、もしかしたら・・・という事件がAFPの記事に出ていました。日本ではAFP記事の翻訳位しか出ていませんが、米国ではもう少し多くの記事が出ています。PGA(全米プロゴルフ協会)のコンピュータ・サーバが不正アクセス(ランサム攻撃)を受けwww.afpbb.com

問題のファイルには、今大会が行われるベルーフ・カントリークラブ(Bellerive Country Club)周辺で使用されるデジタルの宣伝バナーやロゴのほか、来月フランスで開催される第42回ライダーカップ(The 42nd Ryder Cup)の関係資料などが含まれていると報じられている。さらに、今後の全米プロゴルフ選手権用に開発中のロゴやシンボルなども入っており、そのほとんどは簡単に代えが利かないものだとされている。

(AFP記事より引用)

 

◆キタきつねの所感

PGAは火曜朝(8/7)にランサム被害を検知し、水曜(8/8)時点でサーバへのアクセス権が掌握できていないとも書かれており、相当な被害を受けている事が予想されますが、PGAとしては身代金(ランサム)を払わない方針のようです。被害内容は関係者資料の他、未発表のロゴやシンボル等の知財権も含まれているようですが、(デザイナーの所にはデータがありそうな気もしますが)そうした重要情報が暗号化されている中での、ランサムに屈しない姿勢は評価されるものだと思います。

 

詳細を調べてみると、Bleeping Computerの記事によれば、ランサムのタイプは「BitPaymer」の様です。あまり日本では被害が出てないタイプのものですが・・・聞いた事があるなと思ったら、アラスカ行政区画の事件で先日記事を書いたばかりのものでした。

foxsecurity.hatenablog.com

Bleeping ComputerにこのBitPaymerの亜種(ランサムが)ファイル暗号化を行う際のファイル拡張子【.locked】(.lock)であると書いています。防衛側が検知を考える場合には参考になりそうです。

※WannaCryの時の暗号化拡張子は【.WNCRY】(.WNCRYT)

Recent variants have been appending the .locked extension to encrypted files and dropping ransom notes of the same name as the encrypted files but with ".readme_txt" appended to it.

(Bleeping Computer記事より引用)

 

併せて、【.readme_txt】の注意文が添付されているとの事で、文面例を見ると・・・ITシステム担当者はシステムを落して良いかどうか判断に迷わせる(不安を煽る)内容となっていて、バックアップファイルをきちんと持っているとの確証がない場合は・・・身代金(ランサム)を払う方向に企業判断が行きやすくなるような注意文となっている気がします。

f:id:foxcafelate:20180813095009j:plain

(Bleeping Computer記事より引用)

 

<注意文の概要>

バックアップファイルは、暗号化されたか、消されたか、ディスクがフォーマットされた

・リセットやシャットダウンするとファイルが壊れる、解除キーを入手しても復号できなくなる可能性有(ファイル名変更や移動も同様)

・2ファイルまで暗号化されたファイル(.lock)無料で解除できるかを確認できる。

 

PGAはランサム攻撃を受けた程度(PGAツアーには影響が無い)にしか情報開示をしてない為(公式発表はまだ無いと思います)、どんな侵入経路だったのか分かりませんが、先日のアラスカの攻撃例で言えば、誰か怪しげなリンクを踏んだかマルウェアファイルを開いてしまった事、つまりメールルートが起因なのかと推測します。

「BitPaymer」亜種を使った攻撃は、今後も増えそうです。日本も攻撃パターンがある程度海外で確立したら怪しい気がします。

そうした攻撃を見据えて、例えばバックアップファイルの持ち方(先にそこから狙われる可能性も・・・)も含め、ランサム攻撃を受けた場合の対処法を各企業は考えておくべきでしょう。

 

 

ゴルフ肘のイラスト

更新履歴

  • 2018年8月13日AM(予約投稿)