Fox on Security

セキュリティリサーチャー(インシデントアナリスト)で、セキュリティコンサルタントのキタきつねの独り言。専門はPCI DSS。

ランサム対策にはタイプライター

アラスカ行政区画ではランサムウェアの被害を受けて1週間以上システムが止まっていると報じられていました。

 

www.dailymail.co.uk

 Workers in Matanuska-Susitna found themselves cut off from technology after ransomware known as BitPaymer encrypted the borough's email server, internal systems and disaster recovery servers.

They were forced to use typewriters and handwrite receipts and notes to ensure the borough kept working.

 

◆キタきつねの所感

被害の状況を見ると、どうやら0ディ攻撃のランサムウェア(BitPaymer)を受けたようです。7月24日(火)にランサム感染を検知し、最初にサーバの相互接続、インターネット、電話、電子メールからの分離をしていますが、650台のPCとサーバをクリーニング又は再セットアップが必要となっており、1週間経ってもITシステムが完全には復帰しておらず、多くの端末が一部被害、120台が暗号化されてしまった影響で、業務にはタイプライタと紙を使わなければならなかったようです。

ランサムを払ったかどうかについては、公表されてません(恐らく払ったという事なのだと推測しますが)が、1週間以上後始末にかかっている事については、ランサムウェア被害を受けた時のことを、防衛側は良く考えておく必要がある事を示唆しています。

 

事件の調査レポートが公開されており、BitPaymer系のランサムの亜種のようで、どうやら5月3日から攻撃の痕跡が残っていたようです。

 

The MSB 2018 Virus Situation

 

攻撃手法として推定されるのは、『メールの(不正)リンクを踏ませる』事で不正マクロを読み込ませ、ローカル管理者権限を窃取する手法ではないかとの事です。その後、ハッカーは別なウイルスを送り込み、ユーザのアウトルックの連絡先、及び政府関係と見られるアドレスを使う。(何らかの手法により)ウィルス又はハッカーが内部ネットワークに侵入した後は、ADの管理者権限を窃取するようです。

ウィルスはマイクロソフトVisual Studioを偽装して書かれ、Windowsベースのマシンのみに攻撃するとあります。この辺りは、同じような攻撃を受けないように考える上ではヒントになりそうです。

とは言え、0ディ攻撃だとすると、標的型メール訓練で職員が不正なリンクを踏まない様に教育をする位では、防ぐのは難しいかと思います。一番先に考えられるのは、、、メールと内部システムを分離する事でしょうか。日本でも多くの省庁・自治体・一般企業が取り組んでいるかと思いますが、ランサムウェアを考えると一般的な対策だけでは大きなシステムを抱える組織は防御は厳しいかも知れません。

別な形での対策として有効そうなのが、権限昇格についての監視でしょうか。普通はLocalにしてもADにしても管理者権限変更が行われる事はほとんど無い訳ですから、そこを守る、あるいは監視する事は重要かと思われます。

BitPaymerの被害は、日本ではあまり聞いた事がありませんが、2017年8月にスコットランドの病院がこのランサムに襲われた事件であったり、2017年6月頃から確認されているようです。

Bit Paymer Ransomware Hits Scottish Hospitals

 

 

日本だとタイプライターの代わりにワープロかも知れませんが、、、ネットワークにつながったシステムはランサム被害を受けて止まってしまう可能性がある、そうした心構え(インシデントレスポンス体制)が問われていると言えそうです。

 

タイプライターのイラスト

更新履歴

  • 2018年8月5日AM(予約投稿)