綜研化学㈱LockBitランサムウエア被害

現在、国際共同捜査クロノス作戦により、国際的な警察連合と熾烈な攻防戦を繰り広げているロックビットランサムギャング。
彼らが提供するLockBit3.0によるサイバー攻撃でした。
被害者は、綜研化学㈱/東京都豊島区/東京証券取引所スタンダード市場/4972
当該企業は、2024年１月早々に被害を開示しています。ここ数年は、年末年始休暇期間を利用したサイバー攻撃が見受けられます。この期間のサイバー攻撃は、今後のスタンダードになっていくであろうと個人的にはそう感じています。昨年はトヨタ自動車関連企業へのサイバー攻撃がありましたが、今年も相変わらずのようです。
綜研化学㈱より（以後、綜研さんと表記します）
第一報
第二報
第三報

今回はこの事件について軽く触れる程度に語ってみようと思います。
まず、綜研さんは、あくまで被害者であることを強調させて頂きます。レイプ被害を受けた被害者へのセカンドレイプにならないよう配慮しつつ、今後の糧に出来るようなお話にしたいと思っております。

さて、早速DarkwebにあるLockBitのリークサイトを覗いて見たところ、しっかりとそこにありました。soken-ce.co.jpです。

ということで、これは正規の「RaaS」に基づいたサイバー攻撃であろうと思います。
LocdkBit3.0ランサムウエアを有料で使わせてもらってサイバー攻撃を行ったオペレーター（攻撃実行者）の存在があるということです。この場合、基本的には身代金を強奪せしめた際は、取り分８割をオペレーター、残り２割がLockBitSuppことLockbit側の分け前となる形態のサイバー犯罪ビジネス(RaaS)です。
ここで、今回の攻撃を実行したオペレーターの素性を調べたくなる衝動もあろうかと思うのですが、それについては一旦、後回しが賢明ではないかと思います。限られたリソースを活用して行う作業を考えると、今回の攻撃の経路、綜研さんのシステム構成や被害状況、セキュリティー体制の見直しを行い、取引先企業を含めた被害の最小化や再発防止に多くのリソースを掛けるほうが賢明だと思うからです。

さて、攻撃者が窃取したと思しき綜研さんの情報資産なる証拠物をザーッと拝見しました。
その第一印象は、まあ、浅くて薄い情報ですね。被害者の綜研さんにとっては不幸中の幸いであったかも知れません。技術情報の窃取に至っては、ほぼゼロであったと思います。これらから感じた私見を下記に記しておきたいと思います。

1.攻撃の深度は浅く、ほぼ自動化された攻撃のみであった可能性大。
2.ハンズオンキーボードによる攻撃ではなかった、或いは失敗している。
→攻撃精度や深度を高めた優れた攻撃を成功させるには、日本語が読めないと無理。また、サイバー犯罪者も標的にした企業の業界や同業者、業界用語や慣習など周辺知識が必要。
3.綜研さんと綜研テクニックス㈱周辺の情報が侵害されている印象を受ける。「綜研さんのデータの持ち方の工夫？」によって侵害を浅く収める事が出来たのかも知れないと推察。もしかしたら侵入経路に関係しているかも知れない。
確か、綜研テクニックス㈱の従業員さん一人だけの給与明細が窃取されていたことが侵入経路を突き止める上でのヒントになろうかと思う。
4.直近の新鮮なデータの窃取に事実上失敗している。
5.窃取されたデータ（Excel）にパスワードが掛けてあり、簡単に中身を参照できない状態のものもあった。これって地味だけど評価できること。
6.取引先の担当者名やメールアドレス等の一覧が窃取されていることから今後、別件のサイバー詐欺犯罪等への情報資産の流用が危惧される。おそらく、取引先企業への謝罪や被害内容の連絡などで大忙しの日々であったろうと思う。
7.「設定」に関する情報資産に、社員番号やID、氏名が表記されているものがあったが、そこへパスワード情報が併記、或いは紐付けされていなかったことは評価できると感じた。
8.作業用のフォルダ＆ファイル等で破棄すべきものがいつまでも破棄されず残されているケースは皆無であった。
9.今回のサイバー攻撃に直接的に関連するのではないかと思うことを最後に一つ。
→SkySeaの導入等、社内から社外への適切なアクセスについては、全社で特に意識されているように感じた一方、社外から社内へのアクセスについては日本企業の特色である「性善説」が適用されていたのではないかと推察。今後の改善点はそこら辺りが中心になるのではないかと思いました。

ということで、Darkwebで暴露された情報から推察するに、今回、窃取された情報資産？を、お金出してまで欲しがる者は一人もいないであろうというのがワタスが抱いた印象でした。

さて、もう一社、日本企業がRaaSの被害者となっているようです。そちらも後日、同様に語ってみたいと思います。