SouthPlume                                               情報セキュリティの選りすぐりの技術と信頼を届けます

                                   

SIPSセキュリティレポート 2022年3月7日号

***************************************************************
 ロシア・ウクライナ情勢の影響で急増する日本へのサイバー攻撃
***************************************************************
ロシアがウクライナに侵攻を開始して1週間が経過し、軍事侵攻で現地は悲惨な状況になっている。
しかし、それだけではなくサイバー攻撃も警戒領域を超えて来ている。

2月24日経済産業省はサイバー攻撃の潜在的リスクが高いとして、対策を強化するよう注意喚起
を行ったが、3月1日にトヨタ自動車の主要サプライヤーの1社である小島プレス工業がサイバー攻撃
の被害に遭った事を受け同日経済産業省、金融庁、総務省、厚生労働省、国土交通省、警察
庁、 内閣官房内閣サイバーセキュリティセンターが共同同時発表で「サイバーセキュリティ対策の強
化について注意喚起」を行った。

サイバーセキュリティクラウド社が調査したところ、2月16日以降、直近3カ月平均と比較し最大25倍
のサイバー攻撃が検知されていて、特にBOT、脆弱性スキャンツール等の攻撃が急増しているという。

実際に今年に入り日本に対するサイバー攻撃は、過去最大であった昨年の攻撃数をも上回る数の
攻撃が発生していて、更にロシアがウクライナに侵攻する少し前から、日本へのサイバー攻撃は更に
増加していて、危機的な状況にあると言っても過言ではない。

政府関係省庁からの注意喚起に伴い、官庁、公共機関、企業、組織、団体から個人まで、日本
の全てにおいて意識しなければならないサイバー攻撃対策とは何だろうか。
この攻撃が危ない…と断定できるものはないが、各国の状況や日本に対する攻撃の状況、そして
サイバー空間に存在する情報を分析した結果を、参考として挙げてみたい。

▼ランサムウェア攻撃
ニュースで大々的に報じられた、3月1日トヨタ自動車の協力企業である小島プレス工業へのランサム
ウェア攻撃が記憶に新しいが、その1ヶ月前あたりから、その予兆はあった。
2月5日には愛知県PCR検査センター、2月27日は自動車部品メーカーのGMB、2月28日は半導
体材料メーカーのグローバルウェーハズ・ジャパン、長崎県佐世保市の介護施設、3月1日はワコムの
物流関連パートナー企業と次々に攻撃され被害を公表している。一方秋田県庁は河川砂防課の
PCが昨年6月にランサムウェアに感染していたことを3月1日に公表している。
公表された企業や団体の数も多いが、実際には公表されていない企業も多数存在する。
SIPSの調査では、それ以外にも多数の被害を確認していて水面下で対応をしている企業もある。

ランサムウェアは何らかの形でシステム内部に侵入し、データを窃取した上でシステム内のデータを暗号
化し、システムへのアクセスを不能にされ、復号化を囮に金銭を要求する。要求に応じなければ全ての
データを公開するといった脅迫をされる攻撃である。
日本でも一昨年ごろからランサムウェア攻撃は増加し始め、昨年は過去最高の被害報告が上がって
いて、当SIPSセキュリティレポートでも何度も注意喚起を行ってきた。

この攻撃はシステムへの侵入手段が明確になり難く、各社対策に苦慮している攻撃の一つであるが、
実際には複数のパターンが存在し、その中で最も多いのがマルウェアを使った侵入である。
マルウェアと言っても多種多様なマルウェアが存在しているが、ランサムウェアはバックドア型Trojanと
呼ばれる種のプログラムを使う事が多く、RAT(Remote Administration Tool)とも呼ばれている。
Trojanとは有用無害なプログラムに偽装して侵入し、何かをトリガとして活動し始める悪性プログラム
でバックドアとはサイバー攻撃者が遠隔操作するためのプログラムである。

被害者は、通常業務の中で、メール及びWebへのアクセスを繰り返しているうちに、Trojanを送り込
まれて遠隔操作され、ランサムウェア攻撃を受けたのである。

ランサムウェアプログラムはロシアで開発されたプログラムとされていて、ブロックチェーンデータ調査会社
米国Chainalysis社の調査によると、2021年に発生したランサムウェア攻撃で発生した仮想通貨の
不正振替事件の送信先の74%がロシア関連のハッキンググループが関与していると発表している。

SIPSの調査で確認されるランサムウェア攻撃に関する情報もロシアのブラックマーケットに存在すること
が多く、昨年世界で発生したランサムウェア攻撃は「Conti」と「Lockbit」という2つのランサムウェア
グループが全体の半数以上を締めている事が確認されている。

もちろん現在のサイバー戦争禍でロシアが世界中にランサムウェア攻撃を行っていることも確認されて
いてContiランサムウェアグループは一時ロシア政府のウクライナ侵攻を支持する声明を上げ「ロシアに
対してサイバー攻撃や戦争活動を仕掛けようとする者がいれば、持てるリソースの全てを注ぎ込み報
復する」とし、一方でLockbitランサムウェアグループは「私たちは非政治的で単なるビジネス。無害で
有益な仕事から生まれる金銭にしか興味がない」と国際紛争には加担しない声明を発表している。

そんな中、2月末contiランサムウェアグループの情報が流出したというニュースが入ってきた。
それによると、流出データは過去約1年分の全チャットログで、中には重要情報も含まれていて、これ
は親ウクライナ派のメンバーがロシア政府を支持する声明を出した事に憤り流出させたとされている。

時を同じくしてSIPS調査チームは、この流出情報を即座に入手したが、その中にはランサムウェアの
ソースコードも存在していた。
ソースコードはパスワード付きのzipファイルであったが、即刻パスワードを解析し内容を確認してソース
コードの分析に入った。

ソースコードの流出により一時的なcontiランサムウェアグループの攻撃は減少するかもしれない。
しかし、このソースコードの亜種が発生する可能性が高く、この後も慎重なモニタリングが必要になると
考える。
一方Lockbitランサムウェアグループはロシア侵攻によるサイバー戦とは関係なく攻撃をしてくる。
日本で最も多く確認されているランサムウェア攻撃の一つと言ってもいいかもしれない。

このようなランサムウェ攻撃を受けると、どのようになるか?昨年10月に被害を受けニュースでも頻繁に
取り上げられた徳島県の半田病院は、復旧までに2ヶ月の時間を要し、サイバー攻撃者の金銭要求
には応えなかったものの、新システムの構築には約2億円がかかった。
半田病院はメディアのインタビューに対して、被害を公表し注意喚起を促したが、今回続々とランサム
ウェアの被害に会っている状況を見ると、その訴えは残念ながら届いていないと言えよう。

日本政府関係省庁からの注意喚起は「リスク低減のための措置」「インシデントの早期検知」「イン
シデント発生時の適切な対処・回復」などが対策として盛り込まれている。
この中で最も重要なのは、インシデント発生時、つまり攻撃を受けた時にどのようにするかという事で、
攻撃を受けてシステム復旧までに何カ月も要すれば業務が滞る事になり、機会損失が多くなれば
事業にも影響が出てしまう。

サイバー攻撃者は高度な技術でセキュリティソリューションも回避して攻撃をしてくる。
高額なセキュリティ対策ソリューションの導入もダメとは言わないが、それより先に、被害を受けた時の
復旧をどうするのかを考えておいた方が安心なのではないだろうか。

そもそも、ランサムウェア攻撃は不正なプログラムがシステム内に侵入してくることから始まると考えれば
やはりメールの添付ファイルやURL、不要なサイトアクセスを控え慎重に実行する事が重要になる。
しかし、有用無害のプログラムがダウンロードされたとしても、セキュリティソリューションでの検知は困難
であり、結果として攻撃をうけてしまうことになる可能性が高い。

ランサムウェア攻撃以外にはDDoS攻撃や2月に圧倒的に感染したマルウェア「Emotet」感染への
注意などが重要である。
Emotetに感染し、なりすましの不正メールが発送される等により、ホームページで「弊社ドメインから
のメールには注意してください」と、お詫びと注意喚起をしているのをよく見かけるが、実はここで恐ろし
いことが行われているのを多分知らないのであろう。

Emotetが引き起こす動作、影響によりその後発生するサイバー攻撃には、DDoS攻撃やランサム
ウェア攻撃まで発展するケースがあるということである。

次回はこのEmotetの脅威とサイバー攻撃への発展、Emotetが送られてくるAPT攻撃はどうやって
発生しているのか、Botを使ったDDoS攻撃などが、どのような関連性があるのか解説したい。

実は貴方の安易な操作やアクセスから全てのサイバー攻撃に進化している可能性があるということで
あり、サイバー攻撃を引き起こしているのは、貴方自身なのかもしれない。
とにかく、緊急事態を超えた危機的な状況であることを頭に入れて、様々な攻撃に対応しなければ
ならない。
まずは、始められるところから対策を行い、警戒態勢を習慣づけることから始めたい。
---------------------------------------------------------------------------------
 <参考URL>
YAHOOニュース/新潮社 Foresight:2022/3/4
ウクライナ侵攻:ロシア「制裁への報復」サイバー攻撃に備えよ
https://news.yahoo.co.jp/articles/20c7c323d7dc35775dd09443768a47169816eefc

経済産業省:2022/3/1
サイバーセキュリティ対策の強化について注意喚起を行います
https://www.meti.go.jp/press/2021/03/20220301007/20220301007.html

TechCrunch:2022/3/1
ロシアのウクライナ侵攻支持を宣言したContiランサムウェアグループの内部チャットがネットに流出
https://jp.techcrunch.com/2022/03/01/2022-02-28-conti-ransomware-chats-leaked/

SouthPlume NEWS:2022/3/2
【ロシアブラックマーケット】Contiランサムウェア ソースコードが流出
http://www.southplume.com/news20220302.html

                                  Home     製品情報     サービス     会社情報     お問い合せ

Copyright (C) 2014 SouthPlume Co.,Ltd. All Rights Reserved