こちらの記事は、セキュリティ専門家の松野によるニュース解説ラジオ「今日の10分セキュリティラジオ」の放送内容を文字に起こしご紹介しています。
東証スタンダード上場企業の株式会社東京機械製作所は1月30日、同社連結子会社への不正アクセスによる個人情報流出の可能性について発表した。(記事はこちら)
【お届けするニュースはサイバーセキュリティ専門ニュースサイト「ScanNetSecurity」の提供でお送りしています。】ランサムウェア攻撃によって、ファイルが暗号化されるなどの被害が発生したということです。ランサムウェアの名前としてよく聞くLockBitの内容や、ランサムウェア感染被害が発生する前に実施できる対策について説明します。
今回のインシデントは、従業員が作業中にサーバ内のファイルにアクセスできない異常に気付き、複数のサーバを調べたところ、各モニターに「LOCKBIT2.0」の表示がありました。原因として、インターネット回線を介して外部からの侵入を防止するために導入していたセキュリティ製品の脆弱性を悪用した、第三者による不正アクセスが挙げられています。
対策として、外部ネットワークを遮断し、同日中に対策本部を立ち上げ、外部専門機関の協力のもとで不正アクセスのあったサーバの範囲と状況、感染経路等の調査とデータ復旧の検討を開始しています。なお、個人情報が保管されていたサーバは、バックアップデータによって現在は復旧しています。
また、個人情報保護委員会への報告と所轄警察署への届け出を行っています。再発防止策として、今回の侵入に悪用されたセキュリティ製品の脆弱性を修正する措置を実施するとともに、現在は全サーバに新たなウイルス感染対策ソフト、不正アクセスを監視するソフト、電子証明を必要とする外部アクセスシステムの構築など、今まで以上に厳重な情報セキュリティ体制の構築を行ったということです。
ランサムウェアの名前としてよく挙げられるLockBitは、リークサイトを持っていること、ドメインコントローラを悪用して高速かつ広範囲のファイルを暗号化させること、VPN装置の脆弱性を悪用して不正アクセスをすることが挙げられています。
IPAが2021年下半期に公開した「コンピュータウイルス・不正アクセスの届出事例」によると、LockBitは、ウイルスと同名の攻撃グループ「LockBit2.0」が使用するランサムウェアで、この攻撃グループは、窃取したデータを暴露するリークサイトを持っているということです。
また、LockBit の被害に遭った届出の中には、Active Directoryのサーバがウイルスに感染していたことが判明した事例や、LockBitがドメインコントローラを悪用したことにより、組織内のネットワークを通じて多数の機器に拡散し、ファイルの暗号化をしたと考えられる事例も複数確認されています。
なお、LockBitの届出者が感染の原因として、最も多く挙げていたのは、VPN装置の脆弱性を悪用した不正アクセスです。対策として、VPN装置など、外部からの攻撃の侵入口となり得る箇所を把握・特定して必要最小限とするとともに、セキュリティを高めて、攻撃者の侵入を防ぐことが挙げられています。
ランサムウェア感染被害が発生する前に実施できる対策として、ファイルへアクセスする端末のマルウェア対策、VPN機器等の脆弱性対策が挙げられます。
まず、ファイルへアクセスする端末へマルウェア対策ソフトを導入して、継続的にアップデートすることで、ランサムウェア感染のリスクを低減することが可能です。マルウェア対策ソフトを導入する端末は、ファイルへアクセスするパソコンだけでなく、ファイルを保存するサーバも含まれます。また、マルウェア対策ソフトで防御できなかった際に備えて、不審な動作を検知し、被害を最小限にくいとめるために、EDRの導入も検討しましょう。
また、ランサムウェア攻撃の侵入口となり得るVPN装置等の脆弱性を放置しないようにすることも必要です。脆弱性が公表されていないかセキュリティ情報を常に入手し、修正プログラムが提供されていれば適用するか、脆弱性が修正されるまではVPN機器等の停止も検討しましょう。VPN機器等で管理されているユーザに第三者が推測可能なパスワードを使っていた場合も攻撃の対象となりますので、その場合は速やかにパスワードを変更したり、二要素認証が使用可能であれば積極的に活用しましょう。
今回は、ランサムウェアの名前としてよく聞くLockBitの内容や、ランサムウェア感染被害が発生する前に実施できる対策についてお届けしました。
今日の10分セキュリティラジオにて毎週月・水・金にセキュリティの最新ニュースを取り上げ解説を行っています。隙間の時間の情報収集にぜひお役立てください!
お見積り・ご相談など、お気軽にご相談ください
サイトTOPへ
