Fox on Security

セキュリティリサーチャー(インシデントアナリスト)で、セキュリティコンサルタントのキタきつねの独り言。専門はPCI DSS。諸々のお問合せ(取材、執筆、各種お問合せ等)はフォックスエスタ (https://foxestar.hatenablog.com/)をご覧ください。

セキュリティ企業も足元をすくわれる

サイバーセキュリティの会社であっても、隙があればランサム被害を受けてしまう。Verintの品インシデントは、攻撃優位の現実を示していると言う事ができそうです。

www.zdnet.com

 

Verintのイスラエルオフィスでは、4/17にランサム警告表示がデスクトップに出ており、従業員がスクリーンショットを撮ったと思わしき写真がZDnet記事に出ていました。内容を見ると、

ランサムウェアの重大問題

現在、オンプレミスのEメールおよびグリーンゾーンのVDI [Virtual Desktop Infrastructure]サービスに影響を及ぼす重大な問題があります。

ランサムウェアがポップアップした場合は、ただちにコンピュータの電源を切り、ITヘルプデスクに連絡してください。ITは、外部のリソースを使った作業を含め、この問題の封じ込めと対処に取り組んでいます。

私たちはこれを可能な限り早急に解決するように努力しており、必要に応じてアップデートを提供します。

質問や懸念については、記載されている番号でITサービスデスクにお問い合わせください。

(ZD Net記事の写真より引用)※機械翻訳

 

◆キタきつねの所感

Verint Systems(VRNT)は米NASDAQにも上場する本部が米国にある企業で、顧客は全世界180か国+10000社を越えるカスタマーエンゲージメント・サイバーインテリジェンス業務ソリューションを持つ企業です。

 

Verint社の紹介ページには、同社が取り組むサイバーインテリジェンス分野での実績が華々しく書かれていますが、自社のすべてがこうした先進的なソリューションによってカバーされてなかったのか、イスラエルのオフィスがランサム被害を受けてしまった様です。

f:id:foxcafelate:20190422144810p:plain

 

更に言うならば、VerintはSOCサービスも提供しています。

cis.verint.com

 

Verintは、イスラエルの報道機関TheMarker、Calcalist、およびGlobesによって出版された記事への攻撃を確認した。同社の広報担当者は続けて、同社の防御システムは「攻撃を開始した直後に攻撃を識別し、それを阻止するために必要な活動を実行した」と説明した。

この説明はCTechの報告と一致しており、Verintが4月17日の夕方に同社の幹部のほとんどがイタリアでの会議に出席していたときに攻撃を検出したと述べている。同社は初期段階で攻撃を検知したとスポークスパーソンはCTechに語り、それによってセキュリティチームがそれに応じて対応できるようにした。

Tripwire記事より引用)

どうやらSOCが異常を検知し、被害が最小限に抑えられた様ですが、こうした会社でも影響を受けてしまう事を考えると、サイバー攻撃への防御は難しいのだという事を改めて実感します。

 

攻撃のタイミングから、同社の幹部が国際会議出席の隙を狙った攻撃と考えられている様です。内部の情報を攻撃側が把握した上で攻撃をかけていた、海外記事のいくつかは、NSOグループとのセキュリティ部門合併交渉時期(破談)が関係していたのではないかと推測していますが、この辺りは推測の域を出ません。

 

イスラエルのthemarkerの記事を見てみると、

www.themarker.com

 

今晩行われているVerintに対する激しいサイバー攻撃の報告。いくつかの要因によって検証されたレポートによると、同社は深刻な身代金攻撃を受けています。この攻撃は同社の内部システムの多くに損害を与え、攻撃者は数百万ドルの身代金を要求します。同社は現時点でこの攻撃に対処しています。

(中略)

さらに、同社の顧客にはイスラエルの治安部隊が含まれているため、攻撃についての最新情報が得られ、間接的な被害を受けているかどうかを調査中であり、会社によるインシデントの封じ込めにも役立っています。

(TheMarker記事より引用)※機械翻訳

ランサム(身代金)はかなり高額の請求をされた様です。とは言え、払ったという記事も見かけません。

セキュリティ企業としては払わないでおいて問題が無い様なバックアップ体制を整えているかとは思いますが、同社の顧客の中にはイスラエルの治安部隊まで含まれている様であり、10000社の顧客への影響を考えて、ランサムを裏で払っている可能性も考えられそうです。

 

別な観点では、この攻撃が洗練された攻撃(ATP)だった場合ですが、同社の幹部が海外に居る事を攻撃側が知りえていた場合、判断が遅れるので被害が拡大する=ランサム(身代金)を払う決断がされる可能性が高くなってくる、そんな可能性もあるかも知れません。CEO、CSO、CISO等の経営トップが外に居る際に、インシデントにどう対応するのか、権限の一次的な移譲も含めて企業は対応計画を考えておくことが必要となってきているのかも知れません。

 

 

f:id:foxcafelate:20190422151846p:plain

更新履歴

  • 2019年4月22日PM(予約投稿)