富士フイルムへのランサム攻撃

富士フイルムがランサムウェア攻撃によって、ネットワーク遮断を行ったとの発表がありました。まだ詳細情報があまりないのですが、気になる記事がありました。

www.bleepingcomputer.com

公式発表(6/2)

本件に関し、現時点で判明している事実と当社の対応をご報告いたします。
2021年6月1日深夜に、ランサムウエアによる攻撃があった可能性を認識しました。その後、影響可能性のあるサーバーおよびパソコンの停止、ネットワークの遮断を行いました。
現在、本件被害の内容や範囲等の特定を進めております。

キタきつねの所感

朝から主要ランサムのリークサイトを調べていたのですが、富士フイルムに関連した投稿は残念ながら見つけられませんでした。

※公式発表を見ると、「不正アクセス」ではなく、「ランサム攻撃があった」可能性について書かれていますので、ランサムノートがあった、あるいはファイルが暗号化される等の、目に見えるランサム証跡を確認したという事なのかと想像します。

富士フイルムと言えば、日本を代表する精密化学メーカーであり、カメラ関係以外にも医療機器や化粧品（アフタリフト等）でも有名であり、最近では子会社（富士フイルム富山化学）が開発した「アビガン」なども記憶に新しい所です。

攻撃者の狙いが大企業の１つとして高額な身代金目当てで富士フィルムを狙ったのか、あるいは特定の資産（特許等）を狙ったものだったのかは分かりませんが、（予防措置を含めての）外部ネットワーク遮断が長引くのであれば、かなりランサム側に「やられてしまった」可能性が高くなっていく気がします。

ここは想像の域を出ませんが、6/3の現時点で、公式発表が6/2で止まっている点（更新1回）、そして「復旧した」との発表がされてない事を考えると、影響（被害）がそれなりにあった気がしてなりません。

世界的にも著名な富士フイルムという事もあり、海外記事もいくつか出ています。その多くは日本の報道や公式発表を受けてのものですが、Bleeping Computerはもう少し踏み込んだ内容の記事を出していました。

真偽の程は分かりませんが、Bleeping Computerは、あまり信頼度が低い情報は出さない所なので、十分に事件の原因として考えられる情報です。

富士フイルムは、どのランサムウェアグループが攻撃に関与したかを明らかにしていませんが、アドバンストインテルの CEO であるVitali Kremezは、富士フイルムが先月 Qbot トロイの木馬に感染したと BleepingComputer に語っています。

(Bleeping Computer記事より引用）

Qbot(QKbot)はもう10年以上”現役”なマルウェアです。昔はバンキングトロジャン（オンラインバンキングの認証情報を窃取するマルウェア）だった記憶がありますが、最近はランサムウェア攻撃の、前段階として企業のネットワークを侵害する攻撃に使われる事が多い様です。

このマルウェアの癖が悪い（未だに絶滅しない）所は、亜種が簡単に作れる事もありますが、変異型（感染するとランダムにコードを変形する）なので、シグネチャー型のアンチウィルスソフトを潜り抜ける率が高い事もあるかと思います。

一般的には、スパムメール（標的型メール）を通じてQbotの初期感染が広がっていく事が多いかと思いますが、富士フイルムが、この初期攻撃段階（5月中旬？）の活動を検知（封じ込め）するのが遅れたのだとすれば、C&Cサーバから”本命の”ランサムウェアをDLされて影響範囲が広がった、という事は十分考えられます。

「当社独自の脅威防止プラットフォーム Andariel に基づくと、2021 年 5 月 15 日時点で、FUJIFILM Corporate は Qbot マルウェアに感染しているように見えました」と、Kremez は BleepingComputer に語っています。「アンダーグラウンドランサムウェアの騒ぎが起こって以来、Qbot マルウェアグループは現在、REvil ランサムウェアグループと協力しています。」

(Bleeping Computer記事より引用）

※Qbotをよく使うランサムオペレータは以前はEggregorだった記憶がありますが、欧州警察が2月に実施した共同作戦で、Eggregorのメンバーが逮捕され、Eggregorが活動を停止した事もあり、現在はREvilに”乗り換えた”様です。

REvilは、日本だと鹿島、キーエンスなどが先日被害を受けたと発表していましたが、Acer等、大手企業に高額な身代金（ランサム）を要求する事でも有名です。

今回の富士フイルムを攻撃したのがREvil（パートナー）であるかどうかは分かりませんが、仮にREvilだったとすると、機微情報を確実に（相当量）窃取してから身代金交渉を仕掛けてくるかと思います。

またランサムでは無く、元々富士フイルムが持つ機微な情報目当ての（国家等が関与する）攻撃だった場合、こちらも攻撃者の”目的が果たされてしまった”事を危惧します。

攻撃の詳細がまだ”噂レベル”の中、もしかすると間違った事を書いているかも知れませんが、１つ言えるのは、富士フイルムクラスの世界的企業であっても、ランサム被害からは逃げられない（なかった）という事です。

また、Qbot被害の情報が正しい場合、最初の攻撃で”抑えきれず”に、本命のランサム攻撃に発展したという事になるかと思います。

それは、NISTのサイバーセキュリティフレームワーク（CSF）で言う、「特定」「防御」「検知」「対応」「復旧」の「検知」「対応」部分に何らかの問題があったと考えられますので、他の企業・組織にも「防御」重視ではなくバランスを考える部分であったり、Qbotの警戒（分析）について、自組織の対策を見直すポイントがあるかも知れません。

※6/5追記　現時点で富士フイルム側はランサムオペレータを”非開示”の方針の様です。また身代金については、Security Nextの取材に対し、支払っていない(今後も支払う気は無い）と回答している様です。

システムの復旧目途は6/7週目標との事ですので、ランサム被害発生から最低1週間以上は影響が残る事となり、被害を受けた端末の台数が多い、あるいは単純な再フォーマット＋再インストールだけではなく、特殊なセットアップやテストが必要な基幹サーバが”影響を受けた”可能性、あるいは侵入に使われたマルウェア（Qbot）等の検知、または影響（フォレンジック）調査に時間がかかっている・・・といった様な事が想像されますが、小規模な被害では無かったのは間違い無い様です。

www.security-next.com

感染が生じたのは、国内の特定ネットワークに限定されていると説明。同社は本誌の取材に対し、ランサムウェアの具体的な種類についてコメントを避けた。身代金の要求には応じておらず、今後も応じないとしている。

同社は不正アクセスの判明を受けて、サーバやパソコンを停止し、ネットワークを遮断したことから、電話やメールによる顧客サポート窓口や関連会社の流通などにも影響が波及していたが、これらシステムはランサムウェアの影響がないことが確認されたため、順次再開する予定。

ランサムウェアの感染被害が発生した国内の一部ネットワークについても、6月7日週内の復旧を目標に作業を進めているという。

※6/6追記

4日から順次外部アクセスを再開した様です。徐々に影響が解消されていきそうですね。

mainichi.jp

※攻撃手口について更なる情報があった場合、記事の更新あるいは別記事を書くかも知れません。

本日もご来訪ありがとうございました。

Thank you for your visit. Let me know your thoughts in the comments.

カメラのフィルムのイラスト