ランサムウェア攻撃を受けるも1日で復旧、なぜ速やかな回復ができたのか
こちらのnoteは、セキュリティ専門家松野によるニュース解説ラジオ「今日の10分セキュリティラジオ」5月10日の放送内容を一部抜粋しご紹介します
今回の解説ニュース
ランサムウェア感染により、システム障害が発生したということです。ランサムウェア攻撃の概要と、早期に復旧ができた背景について説明します。
今回のインシデントでは、一部社員のPC及びサーバ内の保管データが閲覧不能になりました。原因として、業務関連データを格納するサーバに対するランサムウェア攻撃が挙げられています。
対策として、ネットワークを遮断し、サーバ管理者および外部の専門業者と連携の上、速やかな復旧を行っています。再発防止策として、サーバに関わる各機器のログ解析を入念に行い、その中で得られた結果を生かし、これまで以上に強固なセキュリティ対策を行うということです。
SSL-VPNの脆弱性を突かれたランサムウェア感染の経緯
今回のランサムウェア感染について、SSL-VPNの脆弱性がつかれたようです。具体的な感染経緯とその経路について、公開されている報告書から引用して説明します。
感染経緯として、まず、攻撃者からとみられる不正アクセスの痕跡が確認されています。その3時間半後、再度、攻撃者からとみられる通信痕跡が確認されており、具体的には、リモートデスクトップ接続により、サーバ内が横断的に侵害され、ランサムウェアが配布されたと考えられています。その8時間半後に、出勤した社員からの通報により、感染が発覚しています。
感染経路として、ドメインコントローラーのイベントログを調査した結果、攻撃者によるサーバへの侵入が疑われる痕跡が確認されたことから、SSL-VPNのセキュリティが突破されて侵入されたとみられています。
まとめると、SSL-VPNを経由して社内システムへ侵入され、Windowsドメインのユーザが乗っ取られることで、広範囲にわたってランサムウェア感染の被害にあったことが考えられます。
その他のトピック