オリエンタルコンサルタンツへのランサムウェア攻撃、新たに東京都の委託業務の被害も発覚
こちらのnoteは、セキュリティ専門家松野によるニュース解説ラジオ「今日の10分セキュリティラジオ」9月8日の放送内容を一部抜粋しご紹介します
今回のトピック!
・ニュース解説
・ランサムウェア LockBit 2.0 の特徴と脅威
・外部委任先へのセキュリティ対策の確認
今回の解説ニュース
東京都の委託先がランサムウェアに感染し、業務データの多くが暗号化され、外部流出した可能性があるということです。止まらないサプライチェーンリスクの顕在化ですが、今回感染が発表されたランサムウェアの内容と対策について説明します。
今回のインシデントは、東京都が業務を委託する企業の、さらにグループ会社の複数サーバへランサムウェア攻撃があり、サーバ内に保管されていた業務関連データの多くが暗号化され、外部流出した可能性が判明したということです。
今回、ランサムウェア攻撃の被害を受けたのは東京都の総務局、港湾局、建設局、都市整備局ということですが、過去にも千葉県や埼玉県などでも同様の被害が公表されており、ランサムウェア攻撃を受けた委託先の企業では、外部専門家、弁護士、警察等の協力を得て、復旧に向けた調査及び対応を進めているということです。
ランサムウェア LockBit 2.0 の特徴と脅威
国内外でも被害の拡大が確認されている「LockBit 2.0」の特徴について説明します。
LockBitとは、攻撃者へランサムウェアのインフラとマルウェアを提供するRaaSの一種です。窃取したデータを暗号化して身代金を要求し、被害者が身代金を支払わない場合はデータを不特定多数に暴露する脅迫を行う、二重脅迫型ランサムウェアとも呼ばれています。
■攻撃方法に特徴あり
LockBit 2.0の特徴は、その攻撃方法にあるといわれています。まず、LockBit 2.0はドメインコントローラへのアクセス権を取得しようとします。ドメインコントローラへの侵入方法は、他のRaaSと同様に第三者から成果報酬で募集する方法を採用していますが、さらに、LockBit 2.0の恐ろしい点は、組織の内部犯行者を勧誘することで、より確実にランサムウェア攻撃を成立させようとしています。内部犯行者の協力を得ることができれば、脆弱性がなくても簡単にドメインコントローラへ侵入することができます。まさに、セキュリティのアキレス腱である「性弱説」を狙ったランサムウェア攻撃であると言えます。
■LockBit 2.0 の感染脅威?
さらに、LockBit 2.0はランサムウェアへの感染を速やかに広げるための最適化がなされています。具体的には、ドメインコントローラへ侵入した後に、ランサムウェア攻撃の阻害となるセキュリティ機能を停止したり、ログファイルを削除したりするために、グループポリシーの機能を使って複数のバッチファイルを実行します。そして、あらゆるセキュリティ機能を無効化した上で、Active Directoryに参加しているすべてのコンピュータへマルウェアを送信します。LockBit 2.0の感染が広がるスピードやその被害は、想像しただけでもゾッとしますね。
その他のトピックはこちら
外部委任先へのセキュリティ対策の確認
委託先のセキュリティ対策を確認する方法として、ISMSなどのセキュリティに関連する認証を取得していること以外に、ペネトレーションテストを実施して実効性を伴うセキュリティ対策ができているかを確認することが有効になる場合があります。理由は、先ほど説明したLockBitでも、人のサイバー攻撃と同様の侵入シナリオが適用できるからです。(全文はこちら)