セキュリティの
学び場

今回の解説ニュース

東京都の委託先がランサムウェアに感染し、業務データの多くが暗号化され、外部流出した可能性があるということです。止まらないサプライチェーンリスクの顕在化ですが、今回感染が発表されたランサムウェアの内容と対策について説明します。

今回のインシデントは、東京都が業務を委託する企業の、さらにグループ会社の複数サーバへランサムウェア攻撃があり、サーバ内に保管されていた業務関連データの多くが暗号化され、外部流出した可能性が判明したということです。東京都から見ると、直接は契約関連のない委託先のグループ会社ということで、まさにサプライチェーンリスクが顕在化してしまったインシデント事例であると言えます。

今回、ランサムウェア攻撃の被害を受けたのは東京都の総務局、港湾局、建設局、都市整備局ということですが、過去にも千葉県や埼玉県などでも同様の被害が公表されており、ランサムウェア攻撃を受けた委託先の企業では、外部専門家、弁護士、警察等の協力を得て、復旧に向けた調査及び対応を進めているということです。

ランサムウェア LockBit 2.0 の特徴と脅威

国内外でも被害の拡大が確認されている「LockBit 2.0」の特徴について説明します。

LockBitとは、攻撃者へランサムウェアのインフラとマルウェアを提供するRaaSの一種です。窃取したデータを暗号化して身代金を要求し、被害者が身代金を支払わない場合はデータを不特定多数に暴露する脅迫を行う、二重脅迫型ランサムウェアとも呼ばれています。

攻撃方法に特徴あり

LockBit 2.0の特徴は、その攻撃方法にあるといわれています。まず、LockBit 2.0はドメインコントローラへのアクセス権を取得しようとします。ドメインコントローラへの侵入方法は、他のRaaSと同様に第三者から成果報酬で募集する方法を採用していますが、さらに、LockBit 2.0の恐ろしい点は、組織の内部犯行者を勧誘することで、より確実にランサムウェア攻撃を成立させようとしています。内部犯行者の協力を得ることができれば、脆弱性がなくても簡単にドメインコントローラへ侵入することができます。まさに、セキュリティのアキレス腱である「性弱説」を狙ったランサムウェア攻撃であると言えます。

LockBit 2.0 の感染脅威？

さらに、LockBit 2.0はランサムウェアへの感染を速やかに広げるための最適化がなされています。具体的には、ドメインコントローラへ侵入した後に、ランサムウェア攻撃の阻害となるセキュリティ機能を停止したり、ログファイルを削除したりするために、グループポリシーの機能を使って複数のバッチファイルを実行します。そして、あらゆるセキュリティ機能を無効化した上で、Active Directoryに参加しているすべてのコンピュータへマルウェアを送信します。LockBit 2.0の感染が広がるスピードやその被害は、想像しただけでもゾッとしますね。

外部委任先へのセキュリティ対策の確認

委託先のセキュリティ対策を確認する方法として、ISMSなどのセキュリティに関連する認証を取得していること以外に、ペネトレーションテストを実施して実効性を伴うセキュリティ対策ができているかを確認することが有効になる場合があります。理由は、先ほど説明したLockBitでも、人のサイバー攻撃と同様の侵入シナリオが適用できるからです。

再びLockBitの事例となりますが、VPN機器が侵入の起点となり、ドメインコントローラへ侵入され、ランサムウェアに感染した事例が確認されているようです。これは、標的型攻撃などで人によるサイバー攻撃の事例と同様で、外部や内部から重要なシステムへの侵入経路が存在していることでリスクが顕在化しています。

外部からの侵入経路はインターネット経由で、内部からの侵入経路は社内ネットワーク、リモートワークの場合はVPNやクラウドのアカウントを保持した状態で、ペネトレーションテストを実施します。特にActive Directoryを使用している場合は被害が甚大になりますので、ドメインコントローラーだけは適切に保護されていることを確認しましょう。

これでもサプライチェーンリスクをすべて解消する対策にはならないかもしれません。我々セキュリティベンダーの力不足でもありますが、全員参加のセキュリティを実現するために何ができるか考えていきたいと思っています。