Fox on Security

セキュリティリサーチャー(インシデントアナリスト)で、セキュリティコンサルタントのキタきつねの独り言。専門はPCI DSS。諸々のお問合せ(取材、執筆、各種お問合せ等)はフォックスエスタ (https://foxestar.hatenablog.com/)をご覧ください。

老人ホームへのランサム攻撃

ランサムは老人ホームまで・・・とこのニュースを聞いて思ったのですが、身代金を払う動機になりやすい『生命』を預かる施設としては、病院同じですので、ハッカーに狙われるのは当然なのかも知れません。

coinchoice.net

 

暗号資産(仮想通貨)に対する犯罪は年々増加していますが、米国ではさらに手の込んだ極めて悪質なサイバー犯罪が増えています。ハッカー集団は最近、米国の110もの老人ホームのコンピューターにランサムウエアRyukを仕掛けて介護者の医療情報を含む主要データファイルを暗号化し、システム復旧の代わりに身代金1,400万ドル(約15億2,000万円)相当のビットコイン(BTC)を要求するという事件が発生しました。

これら老人ホームは、米ウィスコンシン州のIT企業バーチャル・ケア・プロバイダー(VCPI)のクライアントです。同社は全米の45州にまたがる100を上回る老人ホームと契約して、クラウドデータホスティングやセキュリティ、アクセスサービスを提供しています。

同社はこのほど、セキュリティ情報サイト KrebsOnSecurityとのインタビューに応じて、ハッカーがRyukを利用して同社のシステムを乗っ取り、結果的に老人ホームの個人(医療)情報を保存している約8万のコンピューターに侵入して、データを乗っ取るという事件が起きたことを確認しました。コンピューターは同社の管理下にあります。

(中略)

VCPIのチーフエグゼクティブであるカレン・クリスティアンソン(Karen Christianson)氏によると、老人ホームへの攻撃によって、インターネット接続、請求業務、電話機能、電子メール、そして入居者の個人情報のアクセスなど、主要な機能に影響が出たとされています。

VCPI自体の給与支払いシステムもハッキングされており、従業員の問い合わせもあると言われます。同社は介護者の命に関わる状況打開を優先しており、できるだけ早期に電子医療記録の回復を目指しています。クリスティアンソン氏によると、賠償金はハッカー集団にまだ支払われていません。

(中略)

サイバー情報企業ホールド・セキュリティー(Hold Security)によると、VCPIへのハッカー攻撃は11月15日に発生しました。同社によると、この種の攻撃はトロイの木馬型マルウエアの侵入後、Ryukランサムウエアが展開される以前に阻止されるのが通例です。VCPIのシステムは実は、18年9月に侵入されていた兆候があり今回Ryuk攻撃を受けるまで放置されていた可能性があすそうです。

(Coinchoice記事より引用)

 

◆キタきつねの所感

医療関係へのランサム攻撃というと、米ロサンジェルスのハリウッドのHollywood Presbyterian Medical Center(HPMC)が2016年にランサムを払った事を公表した辺りから、成功事例が出たという事もあるのでしょうが、増加し続けています。しかし、ロサンジェルスの大病院が300万ドル(約3.3億円)を要求されて、実際に払ったのは1.7万ドル(約200万円)程度だったと言われてます。

www.itmedia.co.jp


今回の侵害による身代金請求が1400万ドル(約15.2億円)と高額なのは、侵害を受けたのは米ウィスコンシン州のIT企業バーチャル・ケア・プロバイダー(VCPI)であり、全米45州100以上の老人ホームと契約していた事が大きいかと思います。

この記事の元ソースのKrebs on Securityの記事を見ると、かなり長い間侵入されていた可能性が高い事がわかります。

 

110 Nursing Homes Cut Off from Health Records in Ransomware Attack — Krebs on Security

 

2018年9月(14カ月前)には最初の侵害が発生していて、この最初の攻撃はフィッシングメールだった様です。TrickbotやEmotet感染拡大は日本でも警戒されていますが、記事を見るとこうした拡散型のマルウェアが早い段階から使われていたと推測されます。

 

Emotetの感染プロセスが、CISAにあったので引用しますと、添付ファイルを開いて感染(①)し、マルウェア本体をダウンロード(②)して、C2Cサーバから諸々の追加ツールがダウンロードされ(③)、ラテラルムーブメントと実攻撃(④)と繋がっていく部分の、③~④で「ランサムウェア(Ryuk)」がダウンロードされて今回の侵害事件が発生したと考えれます。

f:id:foxcafelate:20191201072439p:plain

 

こうした感染経緯を見ると、単体のマルウェア対策というのはあまり役に立たなくなっている事を実感しますが、ハッカーが相当時間をかけて内部侵入していった点には留意が必要です。違う見方をすれば、1年以上バーチャル・ケア・プロバイダー社や医療施設側が侵入を内部検知できてないと見る事もできる訳ですが、興味深い記述がKrebs氏の記事にありました。

ホールデンは、ランサムウェアが展開された最後まで攻撃は防止可能であり、この攻撃は、最初のTrickbotまたはEmotet感染の後でも、ランサムウェア攻撃を防止できることを示していると述べました。それはもちろん、侵入の兆候を定期的に探す習慣があると仮定した場合です。

「最初の侵害は14か月前に発生したことは明らかですが、侵害のエスカレーションは今年の11月15日頃まで始まりませんでした」とHolden氏は述べています。「振り返ってみると、この3日間でサイバー犯罪者はネットワーク全体を徐々に侵害し、ウイルス対策を無効にし、カスタマイズされたスクリプトを実行し、ランサムウェアを展開しました彼らは最初は成功さえしなかったが、試み続けた。

(Krebs on Security記事より引用)※機械翻訳

 

サイバーセキュリティの専門家(Alex Holden氏)の見解から、

 ①侵害検知が出来た可能性がある

 ②一気に3日間で被害を拡大させた

 ③攻撃の多くは失敗したが結局は脆弱性があった 

という事がわかります。

 

①の検知に関しては残念ながら多くの組織が、継続的な監視を行う人員/機器に予算をかけてないと言われており(※特に日本は検知ではなく、防御にウェイトが寄っている気がします)、MSP(Managed Service Provider)として、顧客へのITシステム運用や監視、保守サービスを行っていた(はずの)バーチャル・ケア・プロバイダー社の責が今後問われるかと思います。

少なくても11月中旬の時点ではEmotet(マルウェア)もRyuk(ランサム)もゼロディではありません。侵害を受けた内部ネットワークには、通常とは異なる活動(不正通信、転送ファイル、使われてないポート利用等々)があったはずです。

②については、日付も重要な要素です。11月15日は金曜日です。侵害が開始された時間については両記事共に情報がありませんが、防御側の監視の目が届きにくくなる週末を狙ってきたのは間違いありません。

11月17日の午前1:30のCTの周りでは、未知の攻撃者は、として知られているランサムウェアひずみ打ち上げリュークその顧客とデジタルの鍵と引き換えに、なんと$ 14百万身代金を要求の厳しい企業のホストがロックを解除するために必要なすべてのデータを暗号化し、VCPIのネットワーク内をファイルへのアクセス。リュークは、被害者の支払い能力に応じて身代金の要求を設定して、他の企業(特にクラウドデータ企業)にサービスを提供するビジネスをターゲットにしたことで、その名前を付けました。

(Krebs on Security記事より引用)※機械翻訳

そして攻撃が完了したのが11月17日(日)の深夜です。仮に11月15日(金)の夜間帯に攻撃が実施されたとすると、3日とされていますが、実質1日で(8万台の端末への)攻撃が完了したと考えられます。攻撃準備が整うまで潜んでいて、攻撃日も週末に計算して攻撃をしてくる、、、防御対策は比較的されていたと思われるMSPに対する攻撃(試行)が海外で続いているのは、偶然では無いと思います。侵害に対する時間はかかりますが、果実も大きくなる可能性が高い事を攻撃側も把握した上で、攻撃してきています

この事件の影響で、記事を書いている時点で患者の電子医療記録へのアクセスが十分に出来ない様ですし、インターネット、電子メール、クライアントへの請求システム、バーチャル・ケア・プロバイダー社自身の給与計算操作といったコアサービスのほとんどすべてに影響を与えている様です。

 

③については、特権昇格が出来るタイミングを待っていたと考えるのが妥当だと思います。でないと実質1日程度でこれだけ大規模な侵害(ランサム感染)は成功しないはずです。バーチャル・ケア・プロバイダー社側の視点で見れば、特権昇格を許してしまった=監視が緩かった、、という事も言えるかと思います。

こちらも根拠の無い推測となりますが、影響範囲から考えて、RDP機能辺りが怪しいかな・・と思います。

 

また、Krebs氏が読者コメントに返信を入れているのですが、

私がランサムウェアについて書いたほぼすべての話で、被害者は何らかの種類のバックアップシステムを持っていました。そして、ほぼすべての物語において、一部の読者は、もしバックアップしかなかったら…とコメントします。

ランサムウェアをいじるのをはるかに困難にする重要なデータをバックアップする方法がありますが、この種の準備を可能にする考え方は、標的が侵入を積極的かつ継続的に監視するなどのことも想定していることを前提としています。そして、それらの組織はほとんどありません。また、これらのランサムウェア提供者は通常、ターゲットの管理者ができることをできるようにターゲット内の権限をエスカレートするために必要なことを行うまでトリガーを引き出さないことに注意してください。バックアップ手順の管理。

(Krebs on Security記事より引用)※機械翻訳

④バックアップも侵害されていた 事も推測できます。回復に苦心している又は復旧見込みの見解がでない事から、いくつかあったバックアップの中でも即時復帰が期待できそうなバックアップ手段は、オンライン接続(エアギャップ無し)されており、ハッカーによって削除されたか、ランサム(暗号)化されて使い物にならなかったのだと思います。

 

こうしたMSPへの侵害事件は特に海外では続いており、日本のMSP事業者やMSPを利用している企業・組織は、(MSP事業者の)セキュリティ対策/運用について、もっと注意(対価)を払うべきかも知れません。また、バックアップ(オフサイト)からのデータ復帰について、もっと真剣にトレーニングをすべきである事も付け加えておきます。

 

今回の事件は、APT攻撃と分類される事になると思いますが、日本企業にも対岸の火事では無くなりつつある脅威として考えるべき事例だと思います。

 

 

 

余談です。

ビットコイン相場が犯罪者の攻撃傾向に影響していると言われる事も多いのですが、特に海外のニュースサイトを見ていると、ランサムウェアによる被害が非常に多い気がします。ランサム>マイニングマルウェア>ランサムといった流れがあるのは、2017年後半にビットコインが急騰した際に急に仮想通貨マイニングマルウェアが出てきた事と無関係ではないと思います。しかし2018年にビットコインが急落すると、マイニングマルウェアのニュースはそんなに聞かなくなり、最近またチラホラ聞くようになったな、、と思ったのは、ビットコイン相場が上昇した事も影響していたからと考えると、少し流行のズレがあるものの、攻撃者の傾向がつかめる(予想できる)のかも知れません。

 

(※Bitcoin相場in日本から引用)

f:id:foxcafelate:20191130205219p:plain

 

 

本日もご来訪ありがとうございました。

 

 

日本人のためのパスワード2.0   ※JPAC様 ホームページ

7/8に日本プライバシー認証機構(JPAC)様からホワイトレポートをリリースしました。キタきつねとしての初執筆文章となります。「パスワードリスト攻撃」対策の参考として、ご一読頂ければ幸いです。

 

 ランサムウェアのイラスト(パソコン)

 
 

更新履歴

  • 2019年11月30日PM(予約投稿)