Fox on Security

セキュリティリサーチャー(インシデントアナリスト)で、セキュリティコンサルタントのキタきつねの独り言。専門はPCI DSS。

SamSamは標的型攻撃であった

ランサムasビジネス、そんな想いを強くした米司法省の発表でした。

www.itmedia.co.jp

米国などの病院や公共機関でランサムウェア(身代金要求型マルウェア)感染被害が相次いでいる事件に関連して、米司法省は11月28日、イラン人の男2人がランサムウェアを使ったハッキングや脅迫に関与した罪で連邦大陪審に起訴されたと発表した。

 

 米司法省の発表によると、2人はデータを暗号化してしまうランサムウェア「SamSam」を作成し、セキュリティ脆弱性を突いて不正アクセスした被害者のコンピュータに感染させていたとされる。

 被害は病院などの医療機関のほか、ジョージア州アトランタ市、カリフォルニア州サンディエゴ港、コロラド州運輸局、カナダのカルガリー大学といった自治体や公共機関など200以上に及んでいるという。

 2人は被害者に対してビットコインで身代金を支払うよう要求する手口で、600万米ドル相当の身代金を脅し取っていたとされ、被害総額は3000万ドル以上と推計されている。

(IT media 記事より引用)

 

◆キタきつねの所感

SamSamの被害を受けた事件についてはこのブログでもいくつか記事に取り上げてましたが、米国司法省としては2名の犯人までたどり着いたという発表(逮捕された訳ではありませんが・・)は、感慨深いものがあります。

改めてSamSamについて調べていたところ、DigiCertのHPに「そうそうそれ!」という記載がありました。

www.websecurity.symantec.com

Samsam は、数が増加しているランサムウェア亜種の 1 つですが、他のランサムウェアと異なるのは、パッチ未適用のサーバ側ソフトウェアを通じて目的の標的に到達する点です。ここで注目すべきは、犯罪者がランサムウェア攻撃において企業を直接標的とする傾向が増加していることです。

(digicertHPより引用)

ランサムは無差別攻撃に見えて、2名の訴追されたイラン人の行動からも明らかのように、病院や公共施設、交通機関といったランサム被害においてお金を払いそうな対象に集中的に攻撃を仕掛けてくる場合もあるのだという認識を持つべきなのだと改めて思います。

 

米司法省の発表(原文)を見てみたのですが、ITmediaの記事はよくまとまっているのですが、もう少し細かい所まで書かれています。

f:id:foxcafelate:20181130204843j:plain

 

例えば、具体的に被害を受けた200施設には、アトランタ市、ジョージア州ニューアーク市、サンディエゴ港、カリフォルニア州コロラド交通局、カルガリー大学、ハリウッド・プレスビティリアン・メディカルセンター、カンザス州ハート病院、LabCorp、MedStar Health、ネブラスカ州Orthopedic病院、シカゴのAllscripts ヘルスケアソリューションズ、、私はこの中の事件について1/3程度しか知りませんでした。

 These more than 200 victims included hospitals, municipalities, and public institutions, according to the indictment, including the City of Atlanta, Georgia; the City of Newark, New Jersey; the Port of San Diego, California; the Colorado Department of Transportation; the University of Calgary in Calgary, Alberta, Canada; and six health care-related entities: Hollywood Presbyterian Medical Center in Los Angeles, California; Kansas Heart Hospital in Wichita, Kansas; Laboratory Corporation of America Holdings, more commonly known as LabCorp, headquartered in Burlington, North Carolina; MedStar Health, headquartered in Columbia, Maryland; Nebraska Orthopedic Hospital now known as OrthoNebraska Hospital, in Omaha, Nebraska and Allscripts Healthcare Solutions Inc., headquartered in Chicago, Illinois.

セキュリティのご専門の方は、以下も注意して読むべき気がします。

2015年12月に最初のバージョンが作成され、2017年6月、10月にUpdateバージョンが作成されている事は、バージョンの進化から考えるとそんな感じかなと思いますが、脆弱性スキャンなどの手口で先に潜在的な犠牲者を調査した上で攻撃している部分、そして正常なネットワーク活動のように見せかける攻撃の偽装という部分、この辺りを読むと標的型攻撃の一種(だった)と考えるのが妥当ではないでしょうか。

According to the indictment, Savandi and Mansouri created the first version of the SamSam Ransomware in December 2015, and created further refined versions in June and October 2017.  In addition to employing Iran-based Bitcoin exchangers, the indictment alleges that the defendants also utilized overseas computer infrastructure to commit their attacks.   Savandi and Mansouri would also use sophisticated online reconnaissance techniques (such as scanning for computer network vulnerabilities) and conduct online research in order to select and target potential victims, according to the indictment.  According to the indictment, the defendants would also disguise their attacks to appear like legitimate network activity.

更に次の部分も、もしこの基礎内容がすべて事実だとすれば、怖さを感じられるところかも知れません。

彼らは匿名通信技術であるTorを利用し、ビジネス時間外に攻撃を開始し、更にバックアップも暗号化することによって被害の最大化を図った。

To carry out their scheme, the indictment alleges that the defendants also employed the use of Tor, a computer network designed to facilitate anonymous communication over the internet.  According to the indictment, the defendants maximized the damage caused to victims by launching attacks outside regular business hours, when a victim would find it more difficult to mitigate the attack, and by encrypting backups of the victims’ computers.  This was intended to—and often did—cripple the regular business operations of the victims, according to the indictment.  The most recent ransomware attack against a victim alleged in the indictment took place on Sept. 25, 2018.

 

いくつかの事件を分析している際に、こうした攻撃手法は判明していましたが、サービスを止める事の影響が大きい公的な要素が強い施設を狙い、防御側が手薄なビジネス時間外に攻撃を開始し、ランサム被害を軽減するバックアップも事前調査により暗号化を先に行ってしまう、、、サイバー攻撃をビジネスとして考えた時に、彼らが7億円以上の身代金を獲得できた事は当然と言えるでしょう。

また、同じ攻撃手法は、違ったタイプのランサムでも成功する可能性は十分にあると思いますし、いつ日本企業がそのターゲットになってもおかしくないと思います。

 

ランサムウェアのイラスト(パソコン)

 

更新履歴

  • 2018年11月30日PM(予約投稿)