Fox on Security

セキュリティリサーチャー(インシデントアナリスト)で、セキュリティコンサルタントのキタきつねの独り言。専門はPCI DSS。

キャノンUSAのランサム被害

キャノンUSAが8月に被害を受けたとされるランサムウェア(Maze)による2重恐喝被害をようやく正式に発表した様です。www.bleepingcomputer.com

 

公式発表(11/25)

どうした?
2020年8月4日に、ランサムウェアに関連するセキュリティインシデントを特定しました。すぐに調査を開始し、サイバーセキュリティ会社が関与し、インシデントに対処して運用を復旧するための対策を講じました。また、法執行機関に通知し、調査の支援に努めました。2020年7月20日から2020年8月6日までの間にネットワーク上で不正な活動があったと判断しました。その間、ファイルサーバー上のファイルへの不正アクセスがありました。どのような情報が含まれていましたか?
2020年11月2日にファイルサーバーの注意深いレビューを完了し、2005年から2020年までの現従業員と元従業員およびその受益者と扶養家族に関する情報を含むファイルがあると判断しました。ファイル内の情報には、個人の名前と、社会保障番号、運転免許証番号または政府発行のID番号、直接預金のためにキヤノンに提供された金融口座番号、電子署名、および日付の1つ以上のデータ要素が含まれていました。

(公式発表より引用)※機械翻訳

 

キタきつねの所感

この事件については、Bleeping Computerが8/6に記事を出しているので想定される被害範囲についてはMazeとコンタクトを取った下記の記事をご覧いただいた方が早いかと思いますが、内部データが10TB漏えいした可能性があり、社内のITシステムが「複数のアプリケーション、チーム、電子メール、およびその他のシステムに影響を与える広範なシステムの問題が現時点では利用できない可能性がある」と報じられていましたので、社内のITシステムにも大きな影響が出た様です。

www.bleepingcomputer.com 

 

尚、image.canonのサービス不具合が同時期にあり、これもランサムの影響ではないかと当初言われていましたが、今回の公式発表を見ると、関係が無かった事が分かります。

 

フォレンジック)調査の完了は11月2日となっていますので、漏えいしたデータの範囲確定に約3か月かかった事になり、影響範囲が大きかった事を伺わせます。

※Bleeping Computerが報じている様に10TBのデータが漏えいしているとなると調査時間がかかるのは当然ではありますが・・・

 

また侵害期間(2020年7月20日~2020年8月6日)から、ランサムが拡散される2週間以上前にネットワークに侵入されている事が分かります。偵察行動から横移動(ラテラルムーブメント)フェイズの間にハッカーの侵入を検知するのは非常に難しい事だったのかとは思いますがここで検知が出来ていれば10TBの内部データ流出までには至らなかったのかと思います。

 

しかし、漏えいした可能性があるとして発表されている内容は、15年分とは言え、合算しても10TBにはとても達しないと思える総務系の情報しか書かれていません。

2005年から2020年までの現従業員と元従業員およびその受益者と扶養家族に関する情報を含むファイルがあると判断しました。ファイル内の情報には、個人の名前と、社会保障番号、運転免許証番号または政府発行の識別番号、直接預金のためにキヤノンに提供された金融口座番号、電子署名、および日付の1つ以上のデータ要素が含まれていました。

(公式発表より引用)※機械翻訳

 

この事件を報じたBleeping ComputerはMazeランサムオペレータを取材していた様です。8月の記事には、こう書かれています。

ランサムウェアのオペレーターに連絡した後、BleepingComputerはMazeから、キヤノンへの攻撃の一環として「10テラバイトのデータ、プライベートデータベースなど」を盗んだときに攻撃が行われたと言われました。

Mazeは、身代金の金額、盗まれたデータの証拠、暗号化されたデバイスの数など、攻撃に関するこれ以上の情報の共有を拒否しました。

(Bleeping Computer記事より引用)※機械翻訳

 

10TBとMazeが主張する事の真偽のほどは分かりませんが、仮に10TBだったとすれば、例えば従業員情報とは別なファイル、メールや販売データ等やその他社内の作業ファイル(機密ファイル)が含まれてないと、恐らくこの容量には達しないと思います。

Mazeは、活動停止を発表したとは言え、支払いをしなければ窃取した情報を公開する事でも有名なランサムオペレータでしたので、

 

※以下根拠はありません

 

もしかすると、3か月の間にキャノンUSAとランサムオペレータとの間で何らかの合意(支払い)があったのかも知れません。

 

 

余談です。本日の日経記事を見ると、もうランサム(2重恐喝)は当たり前に企業を襲ってくる 時代になっている様です。全世界で1000社が既に被害を受けた。そう考えると、日本企業側も防衛戦略をシフトしなければいけない時期に来ていると改めて感じます。

www.nikkei.com

 

本日もご来訪ありがとうございました。

Thank you for your visit. Let me know your thoughts in the comments.

 

一眼レフカメラとレンズのセットのイラスト

 

更新履歴

  • 2020年11月26日 AM