ウイルス・不正アクセス届出事例 2021年上半期公開、Qakbot やランサムウェアなど3事例を詳細に説明

　独立行政法人情報処理推進機構（IPA）は8月23日、「コンピュータウイルス・不正アクセスの届出事例［2021年上半期（1月～6月）］」を公開した。IPAでは国内のコンピュータウイルスの感染被害やコンピュータ不正アクセス被害の届出を受け付けており、被害の分析や、集計情報、事例情報として公表を行っている。

　届出事例では、同期間の届出から主な事例を127件取り上げ、6種に分類している。分類および内訳は次の通り。

・コンピュータウイルスの検知・感染被害：14件
・身代金を要求するサイバー攻撃の被害：30件
・IDとパスワードによる認証を突破された不正アクセス：31件
・脆弱性や設定不備を悪用された不正アクセス：24件
・サプライチェーンに関するインシデント：23件
・その他：6件

　IPAでは、全体的には「IDとパスワードによる認証を突破された不正アクセス」や「脆弱性や設定不備を悪用された不正アクセス」など、一般的によく知られているセキュリティ施策を実施していれば被害を防げたと思われるものが多かったとしている。

　一方で、業務委託先サーバへの侵害や、SaaS基盤利用時の設定不備による情報漏えいなど、自組織のシステム管理者や利用者だけでは直接の対策が難しいサプライチェーンに関するインシデントの届出も多かったと指摘している。なお、ウイルスの検知や感染被害の届出は2020年下半期から大幅に減少しており、特に「Emotet」の検知や被害の減少が大きな要因としている。

　届出事例から、「返信を装うメールによりQakbotに感染した被害」「NASの脆弱性を悪用されたランサムウェア感染」「ASPへの不正アクセスによるテナントサービスの停止」の3つの事例を取り上げ、詳細に解説している。特に3つ目の事例は、SaaSを提供する事業者側と利用者側（テナント）の双方から届け出があった。

　SaaSの提供者からは、監視システムがアプリケーションの動作エラーを検知し、調査の結果、アプリケーションが読み込むファイルが暗号化されていることを発見した。さらに複数のサーバでファイルが暗号化されており、脅迫文も確認されたことから、ランサムウェア攻撃を受けたと判断した。

　攻撃を受けたサーバは合計7台に及び、SaaS基盤のサーバも含まれていた。ファイルが暗号化されたため、SaaSのサービスが停止した。PCやサーバの認証情報を取得しようとするツールが稼働していた痕跡も発見されたが、認証情報の窃取には失敗したとみられる。原因は、リモートアクセスを可能にしていたサーバに不正アクセスしたものと想定しており、再発防止策として侵入対策とエンドポイント監視にセキュリティシステムを導入した。

　SaaSの利用者からの届出では、SaaSの提供者からシステム障害発生の連絡を受け、サービスの停止を確認した。その結果、自社の顧客向けに提供しているサービスが停止したほか、SaaSのシステムで保管していた個人情報を含むデータが第三者から不正に閲覧できる状態にあったことが判明した。ただし、情報漏えいは発生していないことが確認されている。

　被害対応として、SaaSの提供者と情報共有や協議の場を設け、随時調査状況や対応策に関する報告を受けられるようにした。また、セキュリティ調査会社とともに自社内のシステムに関しての調査や確認を行っている。なお、早期のサービス再開のため、別の事業者のシステムを利用した新サイトに移行し、サービスを再開した。今後はサプライチェーンのリスク評価などを行うことで、外部委託先管理の強化を図るとしている。