英国リバープールの鉄道会社Merseyrailがランサム(Lockbit)の被害を受けた様です。ランサムオペレータの恐喝戦術の変化を改めて感じます。
www.bleepingcomputer.com
サイバー攻撃は公表されていませんが、BleepingComputerは、4月18日にHeithの電子メールアカウントから「LockbitRansomware Attack and Data Theft」というメールの件名で奇妙な電子メールを受信した後、攻撃を知りました。
この電子メールは、BleepingComputer、さまざまな英国の新聞、およびMerseyrailのスタッフに送信され、LockbitRansomwareギャングによるDirectorの@ merseyrail.org Office365電子メールアカウントの乗っ取りのようです。
このメールでは、攻撃者はマージーレールのディレクターになりすまして、前週末の停止が軽視され、ハッカーが従業員と顧客のデータを盗むランサムウェア攻撃を受けたことを従業員に伝えています。
電子メールには、ロックビットが攻撃中に盗んだとされる従業員の個人情報を示す画像へのリンクが含まれています。
Merseryrailに連絡して攻撃を確認しようと何度も試みた後、昨夜ようやく鉄道ネットワークの声明を受け取りました。
「調査の進行中にこれ以上コメントするのは不適切だ」とマージーレールは、ディレクターの電子メールがどのように侵害されたかを質問したときにBleepingComputerに語った。
(Bleeping Computer記事より引用)※機械翻訳
キタきつねの所感
ランサムオペレータの二重恐喝(データの暗号化とデータの漏えいを人質にする)手法は、色々な派生パターンが出てきていますが、企業のメールアドレスを侵害して企業側が内密にしたい情報を暴露してしまうのは、被害を受けた企業にとって”嫌らしい”(=効果があると思われる)攻撃手法だと思います。
同様な手法に、多くのランサムオペレータが実施している様に、企業から漏えいしたと思われる一部の機密情報を開示する手法がありますが、侵害された企業のメールアドレスからメールが報道機関等に”送信されてくる”事自体が、企業が侵害を受けた事を明示してしまう点に嫌らしさを感じます。
※特に企業側がインシデントを”隠ぺいしたい”(あるいは公開を遅らせたい)と考えている場合には、時間的余裕が奪われ、ランサムオペレータ側に交渉の主導権がより渡りやすくなるかと思います。
Merseyrailのリリースを見ても、今回のインシデントに関するリリースは見当たりませんでしたので、Bleeping Computerの記事内容と併せて考えると、「コメント(公表)したくなかった」件がリークされてしまった様に思えます。
ランサム被害(機密データ窃取)を受けた原因について、Bleeping Computerの記事には書かれてはいませんでしたが、別な関連記事ComputerWeeklyの記事では、以下の様に書かれており、スピアフィッシング(標的型メール)で特権IDが侵害された可能性について指摘しています。
列車運行会社のマージーレールに対するロックビットランサムウェア攻撃は、特権のあるMicrosoft Office 365アカウントの侵害に成功した結果であるように思われ、スピアフィッシングのリスクと電子メールセキュリティの重要性について新たな警告を発しました。
(ComputerWeekly記事より引用)※機械翻訳
DarktraceはLockerbitは比較的”少額な”身代金を要求するグループで、平均身代金額は約4万ドルであると分析しています。今回の”身代金”がどの程度であるのかは情報が出てきていませんが、Lockerbitが侵害の事実を”メールで暴露”した事を考えると、MerseyrailがLockerbitの初期交渉のテーブルに着かずに無視した事が背景にあるのかと思います。
※ランサムオペレータとの交渉をしないという選択が間違っていると言っている訳ではありません。企業のポリシーや侵害されたと予想される情報が軽微である場合は、そうした選択も妥当性がありますし、身代金を支払っても暗号の解除キーが貰えない場合や、更に脅迫を受けるケースもありますので、ケースバイケースで、何が正解とは言えない問題でもあります。
その結果が、従業員と報道機関(セキュリティ専門家)への侵害の事実のリークとなった可能性がある点には、日本企業・組織も注意が必要かと思います。
Lockbit Ransomwareギャングは、Directorの@ merceyrail.org Office 365電子メールアカウントを侵害して、内部スタッフによって軽視された事件を従業員に通知したようです。メッセージには、攻撃の証拠として従業員の個人情報を示す画像へのリンクが含まれています。
攻撃者は、会社のシステムを暗号化する前に、従業員と顧客のデータを盗んだと主張しています。
(Bleeping Computer記事より引用)※機械翻訳
対外の火事で、鉄道系以外はあまり注意すべき点は無いと思う方も多いかと思いますが、私はこうした攻撃パターンについても防衛側(特にCSIRT)は把握しておいた方が良いかと思います。
ランサムの要求を無視する事を決める前に、侵害された脆弱点が分かれば直す(又は監視を強化する)のは当然として、場合によってはラテラルムーブメント(横移動)によって企業メールアドレスを含むO365等が侵害が発生していないかをチェックする事も必要かも知れません。
ランサムオペレータが日々進化させている「多重脅迫」の最新状況に注視し、ランサム=インシデントレスポンスの「チェックリスト」を更新していく事が、企業・組織の防御力を高めるのかと思います。
余談です。本日は、鹿島建設海外グループ企業のREvil被害か、私の専門分野でもあるカード系のfutureshopのインシデントの記事を書こうかと迷ったのですが、記事にするのに時間がかかりそうだったので断念しました。
Emotetテイクダウンのオペレーションの影響で、大手ランサムオペレータを含む攻撃の動きが落ち着いていた気がしていましたが、この所、国内企業でも被害発表が続いている事を考えると、攻撃側が少し活発化している気がします。考え過ぎなら良いのですが。
本日もご来訪ありがとうございました。
Thank you for your visit. Let me know your thoughts in the comments.
更新履歴
