Fox on Security

セキュリティリサーチャー(インシデントアナリスト)で、セキュリティコンサルタントのキタきつねの独り言。専門はPCI DSS。

端末はシャットダウンして帰ろう

地方自治体(公共機関)、病院、学校・・・これらは最近、海外でランサム攻撃の対象となっているセクターで、ランサムで大きな被害を出しています。一方で5.6億円もコストカットに成功した自治体が現れた様です。

gigazine.net

 

アメリカのマサチューセッツ州ニューベッドフォード市がランサムウェアによる530万ドル(約5億6000万円)もの身代金要求を拒否し、アクセス権を奪取されてしまったファイルを自力で回復させて問題を解決しました

 

ハッカーランサムウェアを使ってニューベッドフォード市のネットワークに侵入し、ランサムウェア「Ryuk」を用いた攻撃を行ったのは2019年7月4日の深夜のこと。この攻撃は教育機関や警察などを含む市のネットワーク全てを対象としたものでしたが、攻撃を実行したのが夜間で市のPCのほとんどがオフにされていたため感染したPCは約3500台中158台にとどまったとのこと。翌朝になってITスタッフがランサムウェアを発見。感染したPCを内部ネットワークから隔離し、被害を最小限に収めました。

Gigazine記事より引用)

 

◆キタきつねの所感

「Ryuk」(LockerGoga)と言えば、2018年8月に出てきたランサムウェアで、ノルウェー世界的アルミニウム製造企業のハイドロ等が大きな被害を出した事でも有名です。

 

参考:

foxsecurity.hatenablog.com


ニューベッドフォード市は、7月4日(※注:米国独立記念日の祝日)に攻撃を受けている事から、「Ryuk」の亜種であったと推測されます。

トレンドマイクロの記事では、「Ryuk」はサンドボックスでの検出や、機会学習ベースの検出エンジンを回避する亜種が既に出ている様ですので、監視の緩くなるであろう独立記念日に合わせて攻撃がされた可能性は十分ありそうです。

 

暗号化型ランサムウェア「LockerGoga」について解説 | トレンドマイクロ セキュリティブログ

 

攻撃者にとって不幸だったのは、感染させたいPCのほとんど電源が落とされていた事だと思います。アメリカ人にとって独立記念日はかなり重要な祝日(お祭り)なので、前日は仕事を終わらせて早く帰ろうという意識が強く、普段より電源がオンになっているPC端末が(幸いにして)少なかったのではないでしょうか。

また、RyukはWannaCryやNotPetyaの様に、一気に拡散するタイプのランサムではなかった事も被害を抑えられた原因かも知れません。

 

ハイドロの事例では、PCの電源が落ちてない、あるいは操業に影響があって落とせない端末が数多くあって被害を拡大したのですが、企業のランサム対策(インシデント対応計画)では、常駐で落とせない端末を位置をITチームが把握しておく事が重要になってきています。

あるいは、インシデント対応計画に、ランサム懸念がある際は生産に影響が出たとしてもネットワークを止める(隔離する)事、あるいは止めるべき判断基準を予め定めておく事が必要かも知れません。

 

いずれにせよ、今回の事件を受けて改めて大事だと感じたのは、「業務が終わったら端末はきちんとシャットダウンして帰ろう」という当たり前の事でした。

 

 

 

日本人のためのパスワード2.0   ※JPAC様 ホームページ

7/8に日本プライバシー認証機構(JPAC)様からホワイトレポートをリリースしました。キタきつねとしての初執筆文章となります。「パスワードリスト攻撃」対策の参考として、ご一読頂ければ幸いです。

 

 

機動隊のイラスト

 


 

更新履歴

  • 2019年9月28日PM(予約投稿)