復号代金だけでなくデータ漏えいでも脅迫「暴露型ランサムウェア」の手口と対応例(マクニカネットワークス) | ScanNetSecurity
2022.01.18(火)

復号代金だけでなくデータ漏えいでも脅迫「暴露型ランサムウェア」の手口と対応例(マクニカネットワークス)

マクニカネットワークスは、最近多く被害が観測されている「暴露型ランサムウェア」の手口と対応例を公開した。

脆弱性と脅威 脅威動向
従来のランサムウェアと暴露型ランサムウェアの違い
従来のランサムウェアと暴露型ランサムウェアの違い 全 3 枚 拡大写真
マクニカネットワークス株式会社は6月24日、最近多く被害が観測されている「暴露型ランサムウェア」の手口と対応例を公開した。被害を最小限にとどめることを目的としている。多くの日本企業において、VPN機器やその他の外部に公開している機器などの脆弱性が攻撃され、AD(Active Directory)の乗っ取りやランサムウェアの感染により機密情報を窃取されてしまう事案が発生している。同社が対応を支援している事案では、数週間あるいは数カ月前から侵入の痕跡が確認されているという。

これらの事案で確認されたランサムウェアは、「暴露型ランサムウェア」などと呼ばれる。従来のランサムウェアは主にクライアントPCや各種サーバを対象にファイルを暗号化し、復号のために金銭を要求する。要求額は数万円というケースが多い。しかし暴露型ランサムウェアは、クライアントPCのほかファイルサーバを暗号化する。また、暗号化する前に情報を盗み出しており、復号だけでなく情報の公開を止めるために身代金を要求する。要求額は数百万円に上るという。

実際に被害を受けた手口では、VPNルータの脆弱性を悪用してADサーバへ侵入、管理者アカウントを不正に作成し、ファイルサーバから情報を盗み出した上で暗号化するケースがあった。このケースではプロキシを経由しないため、外部通信が検知されない。また、VPNルータにブルートフォース攻撃を仕掛けてアカウントを取得して侵入、さらにAD情報を収集し管理者アカウントで侵入し、グループポリシーを改ざんする。あとは最初のケースと同じだ。このケースでは、ポリシーの変更によりアンチウイルスやEDRを無効化、マルウェアを配信している。このほかにも、メールをきっかけとして侵入するケースも確認されている。

同社では、攻撃者の侵入経路、事象の再発を考慮したADイベントログとVPNログ、Proxyログなどのセキュリティ製品以外のログ調査を実施して被害の全容を把握した。また、二次被害や再発を防ぐために、VPNパッチの適用やアカウントリセット、プレスリリース準備など、攻撃に対する適切な調査と対処が必要としている。

《ScanNetSecurity》

関連記事

この記事の写真

/
PageTop

特集

アクセスランキング

  1. メタップスペイメント「会費ペイ」で不正アクセス発生、サービス利用団体で決済を停止

    メタップスペイメント「会費ペイ」で不正アクセス発生、サービス利用団体で決済を停止

  2. 中国が侵攻したら台湾は TSMC を破壊すべし ~ 米陸軍誌 2021年トップ論文

    中国が侵攻したら台湾は TSMC を破壊すべし ~ 米陸軍誌 2021年トップ論文

  3. イシバシ楽器WebサーバにSQLインジェクション攻撃、約10万件の会員メールアドレスが流出

    イシバシ楽器WebサーバにSQLインジェクション攻撃、約10万件の会員メールアドレスが流出

  4. フィッシング攻撃で悪用される「ミスリードURL」と「ホモグラフ攻撃」について解説

    フィッシング攻撃で悪用される「ミスリードURL」と「ホモグラフ攻撃」について解説

  5. 2021年総括/中国APTが中国国内企業を攻撃/華為スパイ活動マーケ資料 ほか [Scan PREMIUM Monthly Executive Summary]

    2021年総括/中国APTが中国国内企業を攻撃/華為スパイ活動マーケ資料 ほか [Scan PREMIUM Monthly Executive Summary]

  6. Android アプリ「ジモティー」に外部サービスの API キーがハードコードされている問題

    Android アプリ「ジモティー」に外部サービスの API キーがハードコードされている問題

  7. ペットメーカー「マルカンオンラインショップ」に不正アクセス、1,152名のカード情報が流出

    ペットメーカー「マルカンオンラインショップ」に不正アクセス、1,152名のカード情報が流出

  8. 知られざる暗号評価プロジェクト CRYPTREC 第8回「 CRYPTREC の国際実績」

    知られざる暗号評価プロジェクト CRYPTREC 第8回「 CRYPTREC の国際実績」

  9. 日本航空電子工業ファイルサーバに不正アクセス、詳細は調査中

    日本航空電子工業ファイルサーバに不正アクセス、詳細は調査中

  10. マイクロソフトが1月のセキュリティ情報公開、CVSS スコア Base スコアが9.8の脆弱性も含む

    マイクロソフトが1月のセキュリティ情報公開、CVSS スコア Base スコアが9.8の脆弱性も含む

ランキングをもっと見る