三菱重工への攻撃起点は社用モバイルPCでのSNS不正利用だった様です。

www.nikkei.com

三菱重工業は7日、名古屋市などの拠点のインターネット通信網が第三者による不正なアクセスを受けたと発表した。在宅勤務中の社員が社内ネットワークを経由せずにSNS（交流サイト）を利用した際、業務用のパソコンがウイルスに感染した。同じサーバーを利用する複数の従業員の個人情報の一部が流出した。

機密情報や取引先の情報の漏洩は確認されていない。5月21日に不正アクセスを検知して調査を始め、従業員の個人情報の流出を確認した。

在宅勤務中の社員のパソコンは社内ネットワークを経由して接続しているが、一部のパソコンで外部接続ができるようになっていたという。再発防止に向け、従業員が会社のパソコンから外部ネットワークに接続できないようにする対策を講じた。三菱重工はネットへの接続体制の「社内の監視体制を一層強化する」としている。

（日経新聞記事より引用）

公式発表

• 当社グループ名古屋地区のネットワークに対する第三者からの不正アクセスに係る件

キタきつねの所感

恐らく標的型攻撃の一環だったのかと思います。公式発表に詳しい経緯が書かれていましたので引用しますが、社用端末でSNS（私用）を利用したのが発端の様です。

※リクルートや広報等の理由で公式SNSアカウントを当該従業員が持っていた可能性もありますが、それについては公式発表で触れられていませんので、私用だったと推測して記載しています。

普通は社内ルールでこうしたSNSの私用利用が禁止が書かれていると思いますので、まずここに原因があったと考えるべきかと思います。

2点目のポイントが、『社内ネットワークを経ずに外部ネットワークに接続できた』事です。これも原因の１つとなっていますが、時期（4/29）を考えると、ここは仕方が無かった面もあるかと思います。

4/7からの緊急事態宣言中ですので、急遽のテレワークで端末設定が徹底されてなかった可能性は、三菱重工だけでなく普通にあった時期かと思いますし、不安に思う心理からSNSで情報収集される方もこの時期多かったのはよく分かります。

しかし普通は・・・私用端末でSNS利用するのではないかとは思いますが。。。

Pulse Secure製品の脆弱性に対する記事が出ていました。と言っても、昨年発表された脆弱性なのですが、日本での影響が懸念されます。

www.zdnet.com

ハッカーは本日、900を超えるPulse Secure VPNエンタープライズサーバーのIPアドレスとともに、プレーンテキストのユーザー名とパスワードのリストを公開しました。

脅威インテリジェンス会社KELAの助けを借りてこのリストのコピーを入手したZDNet は、サイバーセキュリティコミュニティの複数のソースでその信頼性を検証しました。

レビューによると、リストには以下が含まれます：

・Pulse Secure VPNサーバーのIPアドレス
・Pulse Secure VPNサーバーのファームウェアバージョン
・各サーバーのSSHキー
・すべてのローカルユーザーとそのパスワードハッシュのリスト
・管理者アカウントの詳細
・最後のVPNログイン（ユーザー名とクリアテキストパスワードを含む）
・VPNセッションCookie

（ZDNet記事より引用）※機械翻訳

キタきつねの所感

ロシアのハッカーズサイトで、900以上のPulse SecureのVPNサーバーの認証情報のリストが共有されているのが発見されました。リストの内容分析を行ったZDNetによるとコンパイルされた日付が「2020/6/24~2020/7/8」となっており、このリストが「現役」である可能性が高い事を示唆しています。

※ZDNet記事より引用

これの何が問題なのか？よくある事ではないのか？と思われる方もいるかと思いますが、VPNサーバーが侵害されて内部に侵入されると、企業や組織には非常に深刻なインシデントをもたらす可能性が高くなります。

このリストには高確率で「日本企業／組織」の情報が含まれているので、現在進行形、あるいは近い将来に日本企業／組織からインシデントが発生する可能性が懸念されるのです。

少し前のKrebs氏の記事ですが、これからサイバーセキュリティのキャリアをお考えの方に対する助言が出ていました。

krebsonsecurity.com

これらの経営幹部レベルの対応における共通のテーマは、非常に多くの候補者が、ビジネスを推進する情報システムの運用、維持、および防御に関するより実際的な懸念を伴う実務経験を欠いているということです。

確かに、学位を取得したばかりのほとんどの人は実務経験がありません。しかし幸いにも、サイバーセキュリティのややユニークな側面は、自主的な研究と昔ながらの試行錯誤を通じて、実践的なスキルと基礎知識をある程度習得できることです。

私が読者への返答にほとんどいつも含める重要なアドバイスの1つは、コンピューターと他のデバイスが相互に通信する方法のコアコンポーネントを学ぶことです。ネットワーキングを習得することは、他の多くの学習領域が築く基本的なスキルだからです。データパケットがどのように機能するかを深く理解せずにセキュリティで仕事を得ようとすることは、最初に元素の周期表を習得せずに化学エンジニアになろうとすることに少し似ています。

（Krebs on Security記事より引用）※機械翻訳

キタきつねの所感

著名なセキュリティ専門家のBrian Krebs氏の、これからセキュリティのキャリアを進む方への助言は、どういった資格を得るべきとも、どのセキュリティの分野が最も明るい未来があるか、といった事よりも、実践的な部分にウェイトを置いています。

サイバーセキュリティの職務は全世界的に不足気味であると言われていますが、AIやビックデータ等を含めて、多岐の分野がある中で、各企業の経営層とも定期的に話し合うKrebs氏が、実践的な部分を助言するというのは、なかなか興味深いものがあります。

とは言え、Krebs氏は同時に「しかし、私の言葉を信じないでください」と続けます。 

米国で5番目に大きなビジネス専門の旅行代理店であるCWT（旧カールソン・ワゴン・トラベル）がランサム被害を受け、ランサム（身代金）を支払ったと報じられていました。

threatpost.com

世界中の顧客を抱える企業旅行代理店業界の巨人であるCWTは、ランサムウェア攻撃を受けて、未知のハッカーに450万ドルの支払いを迫られた可能性があります。

独立系マルウェアハンター@JAMESWTは木曜日にツイートし、CWT（旧称Carlson Wagonlit Travel）に対して使用されたマルウェアサンプルが7月27日にVirusTotalにアップロードされたと発表した。彼はまた、問題のランサムウェアがラグナルロッカーであることを示す身代金メモを含めました。

Threatpostへのメディアの声明で、CWTはサイバー攻撃を確認しました。この攻撃は先週末に行われたと述べています。「予防措置としてシステムを一時的にシャットダウンした後、システムがオンラインに戻り、インシデントが停止したことを確認できます。」

 

@JAMESWTはまた、身代金要求が414ビットコイン、または現在の為替レートで約450万ドルを要求したと報告しました。CWTのスポークスパーソンは、身代金が支払われたかどうか、攻撃の技術的な詳細、またはどのようにして迅速に回復できたかについてのコメントを拒否しました

（Threat Post記事より引用）※機械翻訳

公式発表

• 見当たらず　(リリース一覧）

キタきつねの所感

CWTはビジネス旅行専門の旅行代理店で150か国以上の国と地域にネットワーク網を持ちます。従業員は約1.8万人（※日本の最大手JTBの従業員は約3万人）と、全米でも大手の旅行代理店です。

どうやら7月下旬にランサムが拡散した様ですが、マルウェアハンターのJAMESWT氏がTwitterでランサムメモと、BTCの取引ログから414BTCが支払われたらしいと投稿し、CWTのランサム被害について海外メディアが一斉に書き始めた様です。

VT First Submission 2020-07-27 07:53:43 #Ragnar #Locker hit #CWT #company

Sample

✅https://t.co/GUcibuPUrK
✅https://t.co/dnVLpcdqet
✅https://t.co/goMkl7AhZo@malwrhunterteam @demonslay335@James_inthe_box @VK_Intel@Arkbird_SOLG @VirITeXplorer@sugimu_sec @58_158_177_102 pic.twitter.com/JncyxsTRQ2

— JAMESWT (@JAMESWT_MHT) July 30, 2020