マカフィー創業者が死亡

マカフィー創業者が死亡 スペイン拘置所で自殺か
https://www.nikkei.com/article/DGXZQOGN2403R0U1A620C2000000/

『【ニューヨーク=野村優子】米サイバー対策大手マカフィー創業者のジョン・マカフィー被告(75)が23日、スペインの拘置所で死亡しているのが見つかった。スペイン紙エル・ムンドなどが報じた。自殺とみられている。同被告は米国で脱税の罪で起訴されており、スペインの裁判所は同日朝、米国への身柄引き渡しを承認していた。

ロイター通信は同被告の弁護士の話として、独房で首をつって自殺したと報じている。マカフィー被告は米当局に脱税の疑いで国際指名手配され、昨年10月にバルセロナの空港からイスタンブールに向かう便に乗ろうとしていたところを拘束された。所得を第三者名義の暗号資産(仮想通貨)として隠し、納税を免れたといった疑いがあった。

同被告はマカフィーでの成功の後、仮想通貨の宣伝、コンサルタント業務などで稼いでいたという。2016年、米大統領選に出馬すると表明して注目を集めたこともある。』

「ゼロトラスト」ということ…。

米グーグルはテレワークでVPNを使わない、なぜなら「あれ」が危険だから
https://xtech.nikkei.com/atcl/nxt/column/18/00692/031000023/

※ コロナのお陰もあって、テレワークやリモート・ワークが進行していくと、もはや「境界防御」という考え方が、成立しなくなった…。

※ これまでは、「安全な接続体制」を「一元的」「中央管理的」に構築しておいて、そこの「境界で」不正な接続を防御する…、という思想だった…。

※ VPNも、その思想の延長線上にあり、「安全な接続体制の内部」に進入することを、「許可する」ための仕組みだった、と評価できる…。

※ しかし、それではもはや、間に合わなくなった…。というのは、「端末」自体もワーカーが「買い換える」ということや、「複数台保有する」ということが普通の状況になった…。また、接続して来る「場所」も、常に「自宅」からとは、限らない…。近所の「カフェ」かもしれないし、自宅の近所に借りた「ワーク・スペース」かもしれない…。そういう多種・多様な「接続形態」に対応することが、迫られるようになった…。

※ さらには、Emotet(エモテット)みたいな「マルウェア・プラットフォーム」と呼ぶべき「攻撃形態」も出現し、一旦「信頼できる接続」として「内部への進入を許した」が最後、「情報を根こそぎ持っていかれる」というようなものも出現した…。もはや、「内部からの接続」自体、「信頼できるもの」じゃ無い可能性があるんだ…。

※ そこで、発想を転換して、「全ては、信頼できないネットワーク、アクセスである、という前提で」、セキュリティ対策を考えるようになった…。それが、「ゼロトラスト」というものらしい…。

※ 実際には、「認証の発行の山」と、「認証サーバ」の設置で実行するようだ…。「認証ID」は、一回発行したら、ずっとそのまま…、というわけにいかない…。定期的に、その都度「認証ID」を発行し、「認証サーバ」と連携させて、一回一回、認証して行くわけだな…。

※ 実際、ネットバンキングなんか使うと、その都度端末に(オレは、まだガラケー…)、「ワンタイムパスワード」なるものが送信されて来る…。そういうものを、入力したりして「認証」するわけだな…。いわゆる、「二段階認証」というものか…。

『新型コロナウイルス対策として様々な企業で在宅勤務が推奨される中、VPNに関する発言を耳にする機会が増えた。「大勢が使い始めたので速度が落ちた」「社内からの利用申請が急増した」といった恨み言が中心だが、興味深いものもあった。なんでも「グーグルはテレワークにVPNを使っていない」のだという。』『米グーグルは従業員が在宅勤務をする際にVPNを一切使っていない。インターネット経由で利用できるSaaS(ソフトウエア・アズ・ア・サービス)の「GSuite」などで業務が完結するから、といった単純な話ではない。開発システムや経理システムといったあらゆる種類の社内アプリケーションが全てインターネット経由で利用できるようになっているため、従業員はそもそもVPNを利用する必要がないのだという。』

※ 警告により、Xtechの記事の転載を削除しました。

※  Xtech 、ちょっとやりすぎなんじゃないか?

※ 修正するの、大変だ…。おまけに、WordPress.comのエディターが、投稿時は、classicタイプとかで、古いもののようで、操作のやり方なんか、とっくに忘れてしまっていた…。

※ いやいや、難儀した…。

※ ほぼ、別記事に差し替えた…。

VPNは危ない? テレワーク時代に急浮上、新しいセキュリティの考え方「ゼロトラスト」って何だ? https://www.itmedia.co.jp/business/articles/2008/10/news007.html 

『テレワークで顕在化した、境界防御の限界 これまでのセキュリティ対策は、ITの世界を、信頼できる「内部」と、脅威がうようよしていて危険な「外部」とに分け、外側から侵入を試みる不正アクセスやマルウェア、悪意あるメールなどを、境界で検知してブロックするという境界防御の考え方に立脚してきた。

 パソコンやサーバ、業務アプリケーションがLAN内にあり、ゲートウェイを介してインターネットにアクセスすることが前提──といった、インターネット普及期から2000年代後半までのITシステムならば、それがコストパフォーマンスもいいし、セキュリティポリシーやガバナンスを適用させる一番いい方法だった。そして、どうしてもリモートからアクセスする必要がある場合にはVPNという技術を使って、自宅やリモート拠点などを実質的に「内部」と化すことで、同様のセキュリティを担保してきた。

 しかし、クラウドサービスやモバイルデバイスの普及といったここ十年の環境の変化が、境界型セキュリティの限界を徐々に明らかにさせてきた。

 従業員はもはや社内オフィスにいるとは限らない。重要なデータやアプリケーションも、オンプレミス環境に残っているものももちろんあるが、SaaS、IaaSなどさまざまな形でクラウドへの移行を進める企業が増えている。

 こうして境界があいまいになるにつれ、この数年、多くの人がこれまでのセキュリティ対策の在り方、境界型セキュリティの限界をうっすらと感じてきたのではないだろうか。その問題がいよいよ、新型コロナ対策として広がったテレワークにより多くの従業員が境界の外から業務をするようになって、とうとう顕在化したといえる。

 これまでのアーキテクチャでテレワークをする場合、従業員からの通信はVPNを利用していったん内部に集約される。しかし働き方改革の一環とか、管理者のメンテナンスという観点でごく一部が利用するのとは異なり、数百人、数千人という桁違いの利用者がVPNを利用した結果、帯域や機器の負荷が増大してパフォーマンスが低下し、「これでは使えない」と文句が出たり、時間を区切ってローテーションで利用したりするケースもあるという。

 特に顕著な影響が出ているのは、いったん企業のVPNゲートウェイを経由してクラウドサービスを利用する場合だろう。自宅からダイレクトにクラウドサービスを利用する場合に比べ、データセンターへの行ったり来たりが増えて帯域もセッション数も消費し、ボトルネックとなっている。

 既存の対策の限界をあぶり出した要因はもう1つある。サイバー攻撃の高度化だ。攻撃者は、被害者をだましてメールの添付ファイルやWebサイトをクリックさせたり、RDP(Remote Desktop Protocol)やVPNといったリモートアクセス環境で“弱いパスワード”が設定されているアカウントを乗っ取ったり、脆弱性を悪用したりと、さまざまな手段で信頼されている内部に侵入する。

 こうして一度内部に忍び込んで足掛かりを築いてしまえば、後は攻撃者のやりたい放題だ。信頼されているのだから、共有ファイルサーバやディレクトリサーバへのアクセスも可能になるが、境界型防御では、入り込まれた後のこうした振る舞いには手が出ない。

 このように、IT環境の変化とサイバー攻撃の高度化という2つの理由で徐々に明らかになっていた境界型セキュリティの限界が、新型コロナウイルスの到来に伴い、半ば強制的に突きつけられた状態だ。そして、これに代わるアプローチとして浮上している考え方がゼロトラストセキュリティだ。』
『内側も外側と等しく「常に信頼しない」
 ゼロトラストセキュリティとは、米国の調査会社フォレスター・リサーチのアナリストが提唱した考え方だ。内部に潜む脅威を前提に、またクラウドやモバイルなど外部にあるリソースの活用を念頭に置き「あらゆるものを信頼できない」という前提で、常に確認しながら扱おうという姿勢だ。

 ゼロトラストの考え方では、社員であろうと、一度認証を済ませたデバイスであろうと、内部ネットワークにあるリソースであろうと無条件では信頼しない。IDベースで認証を行い、機器のセキュリティ状態のチェックなどを継続的に行って常に状況を確認し、適切かつ必要最小限のリソースへのアクセスのみを許可するというアプローチだ。

  また、一度信頼できると判断した相手でも、5分後には信頼できない状態になっているかもしれない、という前提に立ち、継続的にチェックを行うこともゼロトラストのポイントだ。いつ、何が行われたかのログを収集して振る舞いや疑わしい動きなどを確認し、必要なアップデートなどが適用されているかもチェックする。

 ゼロトラストセキュリティを構成する要素を具体的に挙げてみると、

認証、認可、アクセス制御の仕組み
(境界に設置していた多層防御を補う)エンドポイントセキュリティの強化と検知・対処の仕組み
(境界に設置していたネットワークセキュリティを補う)クラウドベースのプロキシ、ファイアウォールなど
これらのログを統合管理する仕組み
 ──などが挙げられる。すでに何らかの形で導入済みの機能もあるだろうが、ゼロトラストセキュリティのポイントは、こうした機能をクラウド基盤で提供することで、オンプレミス環境では実現が難しかった拡張性、可用性を備えた形で、内と外との区別なくセキュリティ対策を実現することだ。

Googleの「BeyondCorp リモート アクセス」の例。ゼロトラストの考えに基づいたもので、VPNを使わなくても社内向けアプリにアクセスできる=Google Cloudのブログより
 考えてみれば、これまでの境界型セキュリティは、外部に対するゼロトラストを前提に、外部からのリクエストやアクセス、リソースは「信頼できないもの」として扱い、相手を確認(認証)したり、内容をチェックしたりしていた。ゼロトラストセキュリティではこれらを内部にも広げ、相手が何であろうと誰であろうと、同等のチェックを行うものといえるだろう。LANや企業内ネットワークという考え方を先にするのではなく、クラウドやインターネットという概念を第一に考えると、自ずとこうした考え方に行き着くのかもしれない。

 こうした合理的な考え方に基づき、海外ではGoogleやMicrosoftといったIT大手がゼロトラストセキュリティのアプローチを採用し、従業員が社内にいようと社外にいようと、またどんなデバイスを使っていても、セキュリティを担保する仕組みに移行してきた。この流れは日本国内でも徐々に広がっており、LIXILなどが“脱VPN”を進めている。

 ただ、ゼロトラストのアプローチを検討するには、いくつか留意すべきポイントがあるように思う。

まずは、ITアーキテクチャの整理やクラウド移行、テレワーク導入といったITの全体像を見据えながら検討することだ。「これからはゼロトラストだ」と張り切ってポイントソリューションを導入しても、境界型防御との整合性がとれなかったり、対策が抜け落ちた範囲が生じたりと、ちぐはぐな状態になる恐れがある。そうすると、これまでのセキュリティの歴史を繰り返すかのように、単なるバズワードで終わってしまうかもしれない。全体像を把握し、「このアクセスはどうやって保護するのか」「このユーザーはどういう状態にあるのか」を検討することが重要だ。

 また、何か1つソリューションを導入したらゼロトラストが実現できるかというと、そういうわけではない。これもセキュリティ製品の歴史でたびたび繰り返されてきたことだが、「これを買えばゼロトラスト」という宣伝があれば、むしろ疑いの目で見たほうがいい。

 もう1つ、文化や考え方を変えるには時間がかかる。境界型セキュリティは、戸口をしっかり閉めて泥棒が入り込まないようにするという、人間にとって直感的に分かりやすいイメージで捉えることができた。これに対し、ゼロトラストの考え方はちょっと抽象的だ。場所を問わないという意味で、自社の文化や働き方、労務規定などともすりあわせながら進めていく必要がある。

 予算や運用といった現実を考えても、段階を踏んで、できるところからゼロトラストを導入していくことがベターだろう。ただ、そうした移行期間こそ、捨て去るつもりで無防備な状態になった資産が実は生きていたり、境界防御で守る領域とゼロトラストベースで守る領域とでセキュリティギャップが生まれたり、試験的に動かし始めた環境が思った以上に多くのリソースにアクセスできる状態になっていたり──と、攻撃者にとっては狙い目になる恐れもある。あれもこれもとさまざまなタスクがある中では大変なのは重々承知だが、だからこそ常に慎重に、確認しながら取り組むのがいいだろう。』

グーグル、VPNを使わないゼロトラスト製品「BeyondCorp Enterprise」を販売
プロキシに加えてWebブラウザ「Chrome」に脅威対策を内蔵
https://it.impress.co.jp/articles/-/20992

〔エモテットの話し、再び…。〕

※ 再度、エモテットの話しを「おさらい」する…。

※ 全体像は、こんな感じ…。

※ ちょっと、分かりにくいので、部分を少しくわしく検討する…。

※ まず、発端は「メール」で送られてくる「wordのファイル」だ…。

※ 添付ファイルがあって、それを「クリック」して「開く」と、「マクロ」が実行される…。それが、「侵入」の始まりだ…。

※ だから、wordの添付ファイルは、「絶対、開いちゃ、ダメ!」だ…。

※ エモテットが活動を開始して、まずやることは「解析環境(マルウエア対策で、常時、システムやネットワークを解析している環境が、整っている)」にあるかどうかを、チェックすることだ…。

※ そのチェックも、「エモテット自身」がやるのでは無く、「C&Cサーバ」サイドで実行する…。

※ そして、「解析環境に無い」と判定した場合にだけ、活動して、「レジストリの書き換え・書き込み」を実行する…。

※ そして、このマルウエアの「巧妙なところ」は、盗んだデータを送信したり、いろいろ「悪さ」を実行する「モジュール」が、「システム・サイド」にファイルとして残らない・残さないように「設計」されている点だ…。

※ 「ファイル」では無く、「メモリ」に直接ロードされるように「設計」されているらしい…。

※ そして、「Outlook」がインストールされている場合は、Outlook自身に用意されている.exeを使用して、どんどん「メール関係のデータ」を収集して、C&Cサーバに送信する…。

※ しかもだ、その「Outlook自身に用意されている.exe」も、「中身がくり抜かれていて、ファイル名としては「正規」のものだが、実体は別物」という感じのものになっているそうだ…。

※ そういう「ヤレヤレ」な「マルウエア」で、世界中で「猛威を振るった」…。

※ それで、今般、ともかくも、その「C&Cサーバ」にアクセスしていた「実行犯」(の一部)のアジトを急襲して、とっ捕まえた…、というような話しだ…。

「エモテット」ネットワークを制圧 国際的合同捜査で

https://www3.nhk.or.jp/news/html/20210129/k10012838301000.html

※ これが、かの「C&Cサーバ」の実相か…。意外と、ショボいな…。

※ ああ、そうか…。「サーバ」自体は、「レンタルサーバ」で、どっかの「クラウド上」に置いてあるわけか…。

※ こいつは、そこに「アクセス」したり、ごく「軽い」仕事用なわけだな…。それにしても、ショボいな…。

※ いかにもな「システム」だ…。いずれ、そう大層なものじゃ無い…。

※ 押収された、HDDの山だ…。ぶっこ抜いた「違法データ」がタンマリ…、というわけか…。

※ これは、何だろう…。ちょっと、分からんな…。

※ これは、凄い…。大量の「金の延べ棒」だ…。

『世界中で猛威を振るっていたコンピューターウイルス、「エモテット」について、ユーロポール=ヨーロッパ刑事警察機構は国際的な合同捜査の結果、ウイルスのネットワークを制圧したと発表しました。

ユーロポールは27日、オランダやアメリカ、ウクライナなど8か国の治安当局などとの合同捜査の結果、コンピューターウイルス「エモテット」を拡散させるネットワークの情報基盤に侵入して制圧し、内部から停止させたと発表しました。

「エモテット」は添付ファイルなどを通して感染するウイルスで、一度感染すると個人情報が流出するだけでなく、他のウイルスの侵入も招くのが特徴で、日本など各国で被害が報告され、世界で最も危険なコンピューターウイルスとも言われています。

発表によりますと「エモテット」は世界中にある数百台のサーバーを経由する広範なネットワークによって拡散されていたということですが、今回、ネットワークの情報基盤自体を制圧したことで、「エモテット」によるサイバー犯罪は収束に向かうとみられています。

また合同捜査に参加したウクライナ警察はハッカー集団を支援していたとしてウクライナ人2人を拘束したと発表しました。

ウクライナ警察によりますと、「エモテット」によって欧米の金融機関などにこれまでにおよそ25億ドル、日本円にして2600億円余りに上る被害が出ていたということです。

ウクライナ警察 ハッカー集団の拠点を捜索

ウクライナの警察当局は、東部の町ハリコフで「エモテット」を拡散させていたとみられるハッカー集団の拠点の一つを26日、家宅捜索し、その映像を公開しました。

映像では捜査員らが集合住宅のドアを破って部屋に入り、中にいた男たちから事情を聴くとともに、複数のパソコンやハードディスクなどを押収しました。

また大量の紙幣や金塊も見つかり、ハッカー集団が潤沢な資金を得ていたことがうかがえます。

ウクライナ警察はこれまでに、ハッカー集団を支援していたとして2人のウクライナ人を拘束したほか、ハッカー集団のメンバーを特定し、捜査を続けているとしています。

ウクライナ警察によりますと、「エモテット」が欧米の金融機関などに与えた被害の総額は25億ドル、日本円にして2600億円余りに上り、犯行に加わったハッカー集団のメンバーには最高で12年の懲役刑が科されるということです。

世界中で猛威 200超の国と地域で感染確認

「Emotet(エモテット)」はおととしから本格的な流行が始まったコンピューターウイルスで、これまでに200を超える国と地域で感染が確認されるなど世界中で猛威を振るっていました。

エモテットは送られてきたメールの添付ファイルを開くなどして端末が感染すると連絡先やメールの内容が盗み取られ、知り合いや取引先などと過去に実際にやり取りした文書を引用して、さらに偽のメールを広げます。

また感染すると別のウイルスをダウンロードする機能もあり、クレジットカードの情報などを盗まれるおそれもあります。

調査を行った大手IT企業の「シスコシステムズ」によりますと、「エモテット」はおととしから世界中で本格的に流行し、多いときではウイルスを感染させるメールがひと月に数十万通拡散され、感染した端末が確認された国と地域はこれまでに200を超えているということです。

偽のメールの件名は「invoice(請求書)」が最も多く見られたということですが、日本語の「会議開催通知」もかなり多く見られ、日本も主な標的の一つになっていたと見られます。

情報セキュリティー会社の「トレンドマイクロ」によりますと、日本では去年9月に最も感染が広がり、9月の1か月間で「エモテット」を感染させるメールが届いた国内の端末の数は4万6012件と前の月の8倍になり、その後も減少傾向になっていたものの、感染の被害はことしにかけても続いていました。

今回の摘発によって「エモテット」については活動が収束すると見られますが、同様に巧妙な手口でメールを利用する新たなウイルスが今後も現れるおそれがあり、摘発したユーロポール=ヨーロッパ刑事警察機構はメールの添付ファイルの開封は特に気を使うよう呼びかけています。』

Emotet(エモテット)の話し(その2)

※ Emotet(エモテット)の話し、途中になっていたな…。

※ コロナ騒ぎで、それどころじゃなくなったな…。あの時、画像も大分キャプチャしたはずだったが、もはやどこに行ったのか、見つけられなかった…。

※ それで、新たに検索かけて、別記事からキャプチャした…。

流行マルウェア「EMOTET」の内部構造を紐解く
2018.12.25
コンサルティングサービス事業本部
サイバーインテリジェンスグループ
吉川 孝志、菅原 圭
https://www.mbsd.jp/blog/20181225_2.html

吉川孝志の他のブログ記事を読む
https://www.mbsd.jp/blog/yoshikawa_index.html

菅原 圭の他のブログ記事を読む
https://www.mbsd.jp/blog/sugawara_index.html

Emotetの猛威再び…。

Emotetの猛威再び、攻撃メールを見破るポイントは差出人や署名にあり
https://xtech.nikkei.com/atcl/nxt/column/18/00001/04576/

※ ともかく、「無闇に、安易にクリックするな!」これに尽きる…。

※ 「添付ファイルは、まず開くな!」

※ 「一拍、呼吸を置いて、よく考えよう。」

『2019年秋に大きな被害をもたらしたマルウエア「Emotet(エモテット)」が再び猛威を振るい始めた。セキュリティー組織やセキュリティーベンダーは相次いで注意を呼びかけている。Emotetは「進化」を続け、今では差出人の詐称や添付ファイルの暗号化などの危険な仕掛けを幾つも備えている。

関連記事:Emotetが「感染爆発」の兆し、トレンドマイクロかたる悪質な引っかけの手口
 最新のEmotetによるサイバー攻撃の特徴は何か、どうすれば被害を防げるのか――。トレンドマイクロは2020年9月9日、サイバー攻撃の脅威動向「2020年上半期セキュリティラウンドアップ」について説明会を開いた。そこからEmotetの最新動向が分かった。

バックドアへの「アクセス権」が売られる
 「企業ネットワークへのアクセス権を販売する動きが見られる」。同社の岡本勝之セキュリティエバンジェリストは2020年上半期のサイバー犯罪の動向をこう説明する。攻撃者は何らかの方法で企業ネットワークに侵入してバックドアを構築し、そのバックドアを使う「権利」を販売したりレンタルしたりしているという。

 「既に英国企業のネットワークにアクセスする権利が販売された事例がある」(岡本セキュリティエバンジェリスト)。同社はバックドアの販売/レンタルを「アクセス・アズ・ア・サービス(AaaS)」と名付けた。

ネットワークへのアクセス権を販売する書き込み例
(出所:トレンドマイクロ)
[画像のクリックで拡大表示]
 岡本セキュリティエバンジェリストは「AaaSとEmotetは関係がある」と話す。攻撃者は、不特定多数に向けて同じ文面のなりすましメールを送り、マルウエアに感染させたりフィッシングサイトに誘導したりする「ばらまき型メール」でEmotetを拡散させている。メール受信者が誤って添付ファイルを実行するなどでEmotetに感染するとパソコンに保存されたメール内容やメールアドレスを盗まれ、その情報はネット上の指令サーバー(C&Cサーバー)に送られる。

 最近のEmotetを使った攻撃では、情報を盗むだけでなく他のマルウエアやトロイの木馬ウイルスに感染させて企業のネットワークにバックドアを構築するケースがある。「他の犯罪者が侵入するという危険性がある」と岡本セキュリティエバンジェリストは警鐘を鳴らす。Emotetの感染を検知できなければ、Emotetを仕掛けた攻撃者だけでなくAaaSでアクセス権を購入した別の攻撃者にも不正アクセスを許してしまうというわけだ。

 トレンドマイクロの調査によれば、Emotetを使った攻撃はたびたび活動を休止する傾向がある。2019年10月から攻撃が活発になったEmotetは2020年になっても猛威を振るった。2020年も新型コロナウイルスの感染拡大に便乗した攻撃が増えると思われたが、実際は2月上旬から7月中旬にかけてC&Cサーバーが休止したという。

日本におけるEmotetの検出数の推移
(出所:トレンドマイクロ)
[画像のクリックで拡大表示]
 しかし2020年8月に活動を再開。「日本国内では8月からEmotetの検出数が急増している」(岡本セキュリティエバンジェリスト)と注意を促す。

差出人に「さん」がつく
 攻撃者はEmotetに感染したメール受信者から不正にアドレス帳やメールアドレス、メールの内容などを盗み取る。盗んだ情報を基に別の感染者から攻撃メールを送信する際、メールの文面などをそのままコピーするため、サイバー攻撃を受けていると見抜くのがかなり難しい。「トレンドマイクロのアンケートをそのまま利用したメールもあった」(同)という。人の隙につけいる悪知恵にたけている。

 ただし盗んだアドレス帳の表記をそのまま使うため、差出人や署名がおかしな攻撃メールが散見されるという。例えば同社が観測した攻撃メールでは差出人や署名が「営業部 大久保さん」となっていた。明らかにおかしい。

 これはEmotetに感染した人がアドレス帳に「営業部 大久保さん」と登録し、それを盗んだ攻撃者がそのまま流用したためと思われる。機械的に攻撃メールを作成するため、そこまで気が回らなかったのであろう。岡本セキュリティエバンジェリストは「差出人や署名に違和感を覚えるメールを受け取ったらEmotet攻撃と疑ったほうがよい」とする。

差出人や署名がおかしなメールの例
(出所:トレンドマイクロ)
[画像のクリックで拡大表示]
 防ぐ手立てについて岡本セキュリティエバンジェリストは「マクロを有効にしないこと」と強調する。Emotetは攻撃メールに添付されたMicrosoft Officeファイルを開き、マクロを実行してしまうと感染するからだ。マクロを実行しなければ感染はしない。情報システム部門やセキュリティー部門は従業員に安易に添付ファイルを開かないことやマクロを有効にしないことを改めて周知徹底したい。』

米大統領選、中ロが大規模サイバー攻撃 Microsoftが警告

https://www.nikkei.com/article/DGXMZO63717130R10C20A9000000/

『【シリコンバレー=佐藤浩実】11月の米大統領選が迫るなか、ロシアなど外国勢力によるサイバー攻撃の懸念が強まっている。米マイクロソフトが10日に公表した報告書によると、ロシアのハッカー集団は過去2週間で政党や支援団体など28の組織に攻撃を試みた。中国やイランからの攻撃も続いており、同社は多要素認証などでの防御を呼びかけている。

国家の関与が疑われるサイバー攻撃の動向を調べた。ロシアのハッカー集団「ストロンチウム」は2019年9月~20年6月にかけて200以上の組織を攻撃。8月18日~9月3日の2週間では28組織に属する6912アカウントのハッキングを試みた。「攻撃はいずれも成功していない」(マイクロソフト)という。

【関連記事】
米、大統領選干渉でウクライナ議員に制裁 ロシアの手先

ストロンチウムは選挙関係者のアカウント情報を得るため、考えられるパスワードを総当たりで試す「ブルートフォース攻撃」と、複数のアカウントに対して同時に1つのパスワードを試す「パスワードスプレー攻撃」をしかけた。16年の大統領選では特定の標的から情報を奪う「スピアフィッシング」が主流だったが、攻撃はより大規模化している。

中国のハッカー集団「ジルコニウム」も大統領選に関わる情報を手に入れようと攻撃を続けている。3~9月に検知した攻撃は数千件に上り、150件近い情報漏洩が発生した。失敗に終わったものの、民主党のバイデン前副大統領の関係者を対象にした攻撃もあったという。イランの「フォスフォラス」は5~6月にかけてトランプ大統領の選挙活動に関わるスタッフのアカウントへの侵入を試みた。

選挙のような国家の動向を左右する大型イベントでは、サイバー攻撃が活発化しやすい。マイクロソフトはパスワードと生体認証などを組み合わせる「多要素認証」を徹底するなどして、攻撃を回避するよう呼びかけている。同社はセキュリティー関連の事業を手掛けており、サイバー攻撃についても不定期で報告書を出している。』

ランサムウエア、狙われた病院 システム停止で身代金要求

 ※ ヒデー話しだな…。病院だったら「ファイル」が使用できなきゃ、人命にかかわってくる…。こうなると、「財産的な損害」だけの話しじゃなくなってくる…。

 ヤレヤレな世の中に、なって来たもんだ…。

 ともかく、「ハッキング」「クラッキング」の構図が、「大がかり」で、「根こそぎ浚って(さらって)行く」ものへと、変貌している感じだ…。

 その始まり、端緒は、「標的メール」から…、ということが多い…。

 しかし、「クリックさせる手口」も、日々巧妙化して行っている感じだ(オレも、この間やられたしな…)…。

 ともかく、「クリック」する前に、「一旦、踏みとどまって、考える。」癖を、つけんとな…。

『医療関連の組織がサイバー攻撃の標的となっている。新型コロナウイルス流行後も海外では病院のデータを凍結して「身代金」を要求する攻撃が起き、ワクチンなどの研究情報を狙う動きが表面化した。セキュリティー意識の遅れが指摘される国内の医療機関にとっても対岸の火事ではない。

チェコ第2の都市ブルノにある大学病院は3月13日朝、混乱に陥った。パソコンの画面に脅迫文が表示され、院内のシステムが使用不能になった。内部データを暗号化し、解除のための金銭を要求する「ランサムウエア」による攻撃だった。

新型コロナの検査も担う同国の中核病院の一つだが、一時は手術の延期や急患の受け入れ停止を余儀なくされたという。システムの完全復旧には数週間を要した。

攻撃を解析したセキュリティー会社アバストのヤクブ・クロウステク氏によると、使われたランサムウエアは「Defray」(デフレイ)。2017年には欧米の医療・教育機関への攻撃キャンペーンで使用された。

セキュリティー会社セキュアワークスによると、デフレイを使うグループはウイルスを仕込んだメールを送りつけるなどして内部システムに侵入。管理サーバーを掌握し、ネットワーク内の端末にデフレイを一斉に配信する。さらに不正アクセスを繰り返して復旧を妨害し、身代金を支払うよう追い込んでいく。

同社カウンター・スレット・ユニットの玉田清貴リサーチャーは「技術力の必要なツールを複数駆使し、攻撃レベルは高い」と語る。医療機関のシステム停止は人命に関わる。「復旧を優先して支払いに応じる確率が高いとみて標的にされる」

6月には、新型コロナの検査などに関わる米カリフォルニア大サンフランシスコ校の医学部で、別のランサムウエア「NetWalker(ネットウォーカー)」による被害が判明。同校は「苦渋の決断」として、データ回復のため約114万ドル(約1億2千万円)を攻撃者側に支払うと表明した。

同じランサムウエアは3月にスペインの病院への攻撃にも使われたとされる。セキュリティー会社米マカフィーは、ネットウォーカーを使う攻撃者側への暗号資産(仮想通貨)ビットコインの送金を追跡。3~7月だけで複数の組織から計2500万ドル(約26億5千万円)の身代金を脅し取ったとみている。

新型コロナのワクチン開発や臨床試験に取り組む研究機関や企業の情報も狙われている。

英米とカナダの当局は7月、「APT29」と呼ばれるロシアのハッカー集団が20年に入り継続的に3国でワクチン開発に関わる様々な組織に攻撃を仕掛けていたとして非難する声明を出した。

APT29は情報を盗み取るマルウエア(悪意のあるプログラム)を使うとされ、同系統のマルウエアは18年に日本企業への攻撃にも使われた。当時解析したラック・サイバー救急センターの石川芳浩氏は「いつ日本の研究機関などが狙われてもおかしくはない」とみる。

国内の医療機関の多くは患者情報などを扱うシステムを外部と切り離しており「攻撃を受けにくいという前提でセキュリティー意識が十分に高まってこなかった」と医療業界の関係者は話す。

だが18年には奈良県の病院の電子カルテシステムがランサムウエアに感染し、約1千人分の情報が暗号化される被害が起きた。近年、電子カルテのクラウドサービスを導入する施設も増えている。

医療機関などで国内外のサイバー攻撃の情報を共有する団体「医療ISAC」(東京)の深津博代表理事(愛知医科大病院医療情報部長)は「業界全体でセキュリティーの議論を深めていく必要がある」と強調する。』

「アドレス帳」、ハッキングされた…ぽい…。

※ 今日は、こんなところにしておく…。

※ というのは、朝からメーリングソフトの「アドレス帳」がハッキングされ、記載していた「アドレス」が流出したらしく、その後始末に追われ、バタバタしたからだ…。

※ いきさつは、こうだ…。

※ メーリングソフトは、ジャストシステムのShurikenというものを、愛用していた…。

※ しかし、win10に変えたら、うまく動作しなくなった…。

※ それで、某有名無料メーリングソフトに乗り換えた…。

※ 最近、「更新」を促す表示が出たので、鵜呑みにして、クリックして「更新した」…。

※ そしたら、オレが使っている「ガラケー」に、標的メールらしきものが送信されて来たんだよ…。

※ そのメーリングソフトの「アドレス帳」の情報が、流出した…、としか思われない…。ケータイのメアドで、とても記憶できるシロモノじゃ無いからな…。自分のケータイに下書きを送って、仕上げる…、というようなことをやっていたので、自分へのケータイ・メアドを載せていた…。

※ 「アドレス帳」がハッキングされたとなると、そこに載っている人みんなに、「標的メール」が送信される危険性がある…。

※ それで、いきさつと「注意喚起」のメールを、記載していた皆さんに送る必要があった…。

※ 対策としては、メーリングソフトを変えて、「アドレス帳」の方は、「メモ帳」にテキスト形式で転記して、保存しといた…。

※ 現在、経過を観察中だ…。

※ Emotet(エモテット)の例にもあるように、「アドレス帳」がハッキングされると、自分だけでなく、そこに載っている人全員が迷惑する…。後始末が、大変になるんだ…。

※ イヤな世の中に、なったもんだな…。

「今こそEDR-高度化するサイバー攻撃を迎え撃つ-」

『高度化したサイバー攻撃、ファイルレスマルウェアとは?
サイバー攻撃が高度化した今、万全の対策をしていても被害に遭ってしまう、ということが増えています。なかでも、高度化する脅威として危険視されているサイバー攻撃が、ファイルレスマルウェアです。このファイルレスマルウェアは、exeファイルなどの実行ファイルを使用せず、OS標準のツールを使用し、メモリー上で不正なコードを実行するのが特徴です。

通常のマルウェアによる攻撃の場合、実行ファイルがディスク上に保存され、メールの添付ファイルや、メールの文面でリンクされたWebサイトにアクセスすることで感染します。現在、多くの企業で導入されているEPPでは、実行ファイルに含まれるシグネチャと既知の脅威とのパターンマッチングを行い、水際で被害を食い止めます。しかし、実行ファイルを使用しないファイルレスマルウェアは、そもそもシグネチャがない、すなわちパターンマッチング対象が存在しないため、EPPでは検知することができません。

ファイルレスマルウェアの感染経路
ファイルレスマルウェアが危険視されている理由はこれだけではありません。それは、被害に気づいたとしても、感染原因や攻撃手法をつきとめることが極めて困難である点です。では、ファイルレスマルウェアの感染原因や攻撃手法はどのようになっているのでしょうか。

代表的な例では、実行形式ではないショートカットファイルやレジストリなどがメールに添付されます。そして、そのメールを開封し、添付されたファイルをクリックすることで感染しますが、その際、利用されるのがPowerShell などのOS標準のツールなのです。ディスク上ではなく、PCのメモリー上に悪意あるコードを展開して実行し、感染したPCを不正に操作します。

ファイルレスマルウェアの特徴をまとめると、以下の3点があげられます。
実行ファイルがなく、PCのディスク上に保存されない
EPPでは検索対象外である「メモリー」上で動作する
PowerShellなどの動作はログが残らないこともあり、検知や攻撃手法の特定が困難である
このようなファイルレスマルウェアは、1日当たり数万もの新種が誕生しているとも言われ、今後もさらに増加すると見られています。

これからのサイバー脅威に対抗するには、「侵入後の迅速な対応」を行うことが重要
サイバー攻撃が高度化の一途をたどる昨今、EPPのような既知の脅威を防御する手法だけでは、安全性を確保することがほぼ不可能です。侵入された後の挙動を分析して、脅威を検知する対策が重要となってきます。そこで登場するのが、新たなセキュリティ対策製品EDR(Endpoint Detection and Response)です。

EPPが主に既知の脅威から防御するものであるのに対し、EDRは不正な挙動・振る舞いを検知し、感染後の対応を迅速に行うことを目的としたセキュリティ製品です。EDRにより、EPPで検知できなかったファイルレスマルウェア等による不正な挙動をいち早く検知し、対応することが可能になります。

まとめ
大規模な被害を与えたサイバー攻撃が、企業環境内で検出されるまでの時間は、全世界で日本が最も遅く、平均17時間※1を要していることが分かっています。
ただし、この数字は最良のケースであり、データ漏洩事件の68%※1は、発見されるまで数カ月以上かかるということも分かっています。この数字だけで見ても、侵入したサイバー脅威が組織全体、関係各所に広がり、大きな被害をもたらす危険性が容易に想像できるでしょう。
※1 出展:ソフォス社「7つの気になる真実-エンドポイントセキュリティ」

今後、サイバー脅威はさらに進化し、ファイルを一切使用しない攻撃手法が生まれることも考えられます。こうしたリスクを少しでも軽減するためには、既知の脅威に対する防御に加え、感染をすばやく検知し、迅速な対応を行うことが重要です。』

高度化するマルウエアの攻撃手法、EDRはその手口をどう見抜く

高度化するマルウエアの攻撃手法、EDRはその手口をどう見抜く
高槻 芳 日経クロステック/日経コンピュータ
https://xtech.nikkei.com/atcl/nxt/column/18/01367/082000005/ 

『攻撃の発覚を避けようと工夫する最近のマルウエア。それに対抗するEDRは、端末の多様な情報を収集・解析。攻撃のわずかな痕跡や振る舞いも見逃さない――。その仕組みを解剖する。

 最近のマルウエアは非常に高度な手法を使ってパソコンへの攻撃を隠し、発覚を避けようとしている。マルウエア本体を小型化し、感染先の端末に元からある正規のプログラムを流用するなど、隠蔽の手口は洗練される一方だ。

 その代表例が2019年末から日本に甚大な被害をもたらした「エモテット(Emotet)」だ。このマルウエアはOfficeファイルのマクロを使ってパソコンに感染する。マクロがWindows標準搭載のコマンドラインツール「PowerShell」を起動し、PowerShellコマンドによってEmotet本体をメモリー上にダウンロードして実行する。パソコンのハードディスクにはマルウエアの実行に必要な最低限のファイルしか置かないため、ファイルを分析する従来のウイルス対策ソフトで検知するのは困難だ。

 2020年6月にホンダを襲ったとされるランサムウエア「Ekans」の仕組みも高度だ。本来の攻撃であるファイルの暗号化に先立ち、Windowsが備えるネットワーク設定ツールを使って正規のファイアウオールの設定を変え、端末の通信を妨害していた。これも攻撃の発覚を遅らせる仕組みだ。

 たゆまぬ“研究”の形跡が見られる現代のサイバー攻撃。対抗するには「被害に遭った端末を速やかに発見して対処するのに尽きる」。アクセンチュアでユーザー企業のセキュリティー監視チームなどを支援する、テクノロジーコンサルティング本部セキュリティグループの坂根康之マネジング・ディレクターはこう指摘する。

2つの手法でマルウエアを検知
 対策の要となるのがEDRによって攻撃を「検知」する機能だ。マルウエアが端末の内部に侵入したのか、さらにシステムに感染したのか。それをEDRは主に2種類の手法で検知する。

図 EDRにおける攻撃の「検知」と「封じ込め」
エージェントと解析サーバーが連携して攻撃の痕跡を解析
[画像のクリックで拡大表示]
 1つは、端末のイベントログなどから感染の「痕跡」を見つけ出す手法だ。現実社会の警察官が、事件現場に残された数々の証拠を分析して犯行を特定していくように、EDRはマルウエアの被害に遭った端末や感染範囲などを突き止める。

 EDRは端末に導入したエージェントを使い、端末の様々な情報を収集して記録する。対象とする情報はファイルの作成やプロセスの起動、レジストリーの変更など多岐にわたる。防犯カメラで人の動きを記録するのと同様、端末の挙動を記録し続けている。』

『EDRは記録したデータをクラウド上のサーバーに集めて解析し、攻撃を受けた結果生じる侵害の痕跡がないかどうかを判定する。痕跡とは例えば「マルウエアのハッシュ値やファイル名」「攻撃に利用される外部サーバー(C&Cサーバー)のIPアドレスやURL」「マルウエア感染時に変更されるレジストリー名や値」などだ。EDRベンダーやセキュリティー組織などから「IOC(Indicator of Compromise)」と呼ばれるサイバー攻撃の痕跡情報を入手し、解析に役立てている。

図 マルウエアの感染状況をリモートから調査するEDR
エージェントとクラウド上の解析サーバーが密に連携
[画像のクリックで拡大表示]
 EDRが備えるもう1つの検知手法は、端末の「サイバー攻撃と疑わしい振る舞い」を動的に検知するものだ。前者が過去データに基づく静的な検知とすれば、後者はリアルタイム情報に基づく動的な検知だ。不審な人物の行動をカメラで監視する警備員のように、攻撃時に発生する特徴的な振る舞いをEDRのエージェントやクラウド上のサーバーに組み込んだ検知ロジックで検知する。

 「人工知能(AI)や機械学習を駆使して『どうやら攻撃が始まりそうだ』との兆候を察知する」と、米クラウドストライクのマイケル・セントナスCTO(最高技術責任者)は説明する。

 マルウエア自体は次々に新種が登場し派生しており、IOCなどの痕跡情報を使って網羅的に検知するのは難しい。一方、感染後に生じる端末内部の情報窃取やファイルの暗号化といった攻撃パターンや“クセ”なら、むしろ検知ロジックで絞り込みやすい。こうした考え方に立った検知手法であり、前述のエモテットのように従来のウイルス対策ソフトを欺いて防御をすり抜ける攻撃についても効果が期待できる。

 EDRはマルウエア感染を検知すると、ユーザー企業のSOC(Security Operation Center)やシステム管理者にアラートを送り、自動または手動で感染端末から外部への通信を遮断する。情報漏洩や他の端末への感染拡大を封じ込めた上で、感染した端末を元の状態に修復する。

 こうした一連の検疫活動に並行して、どのような攻撃が行われたかリポートも作成する。検知や封じ込め、修復といった機能は自動化されている場合が多い。だが、人の判断が必要になる巧妙な攻撃の手口については、やはりEDRを導入した全端末から集まる情報を人間が分析し、個別に対策を講じる必要がある。攻撃内容のうちリスクの高いものから優先順位をつけ、全体として迅速かつ合理的な対応を図るのも重要だ。

 EDRは主にイベントログや解析結果を基に、感染の経緯や経路、影響の範囲を調べてリポートを作る。端末がどのようなツールをダウンロードして実行したか、どこに通信しているか、OSの再起動時にマルウエアが実行されるような設定がなされているか、など攻撃の実態を把握していく。

 EDRの中にはAIによる調査支援機能を備えるタイプもある。AIが初期段階でインシデント情報を整理し、優先順位をつけてからSOCの分析官などに渡す。そうすると分析官はより深刻なインシデントに集中して調査できるようになる。

 EDRによる調査支援は攻撃への迅速な対応だけでなく、再攻撃されるリスクを軽減するのにも役立つ。自社を狙う特定の攻撃パターンを把握できれば、それを基に自社専用のIOCを作成できる。それがサイバー攻撃に対する検知精度を高めることにつながる。』

NTTコム・サイバー攻撃事件の深層、多要素認証を無効化されていた

https://xtech.nikkei.com/atcl/nxt/column/18/01157/081900017/

 ※ 文章の内容は、同じであるようだ…。

 ※ 警鐘を鳴らす意味で、再度掲載し、図が掲載されていたので、それを貼っておく…。

『NTTコミュニケーションズに対する2つのサイバー攻撃が明らかとなった。延べ約900社・組織の顧客情報が外部に流出した可能性がある。撤去予定だった海外の運用サーバーの「隙」を突かれた。後日、社員になりすました不正アクセスも判明した。攻撃者は端末の多要素認証を無効化し、社内システムに入り込んでいた。

 「まさか日本のセキュリティー業界のリーダーであるNTTコミュニケーションズが被害を受けるとは」。サイバーセキュリティーに詳しい業界関係者は口をそろえる。

 NTTコムは2020年5月28日、サーバーなどの自社設備がサイバー攻撃を受け、顧客情報が外部に流出した可能性があると発表した。7月2日には、社員になりすました攻撃者から不正アクセスを受け、顧客情報の流出範囲が拡大した恐れがあることも公表した。

 一連の攻撃により、防衛省や海上保安庁、厚生労働省など単純合算で延べ約900社・組織の通信関連工事情報が外部に流出した可能性がある。河野太郎防衛大臣は2020年5月29日の閣議後記者会見で、不正アクセスの報告を受けたと明らかにしたうえで「しっかり調査していただきたい」と要請した。監督官庁の総務省幹部も「現状把握と顧客対応をしっかりやってほしい」とくぎを刺す。

撤去予定の海外サーバーに「隙」
 社内調査により、攻撃者の侵入経路は2通りあったことが判明している。

 1つが顧客向けサービスの監視や障害の切り分けなどを担うシンガポールの運用サーバーを踏み台としたルートだ。攻撃者は2019年9月ごろに同サーバーに侵入。その後、タイなど複数の海外拠点を経由し、2019年12月に法人向けクラウドサービス「Bizホスティング エンタープライズ(BHE、2018年3月にサービスの提供を終了)」と「Enterprise Cloudオプションサービス」の運用サーバーに入り込んでいた。ここを足掛かりに法人向けクラウドの工事情報管理サーバーのほか、社内セグメントのアクティブディレクトリー(AD)運用サーバーや社内ファイルサーバーへと触手を伸ばしていた。

図 NTTコミュニケーションズが受けたサイバー攻撃の概要
2つの不正アクセスが判明した
[画像のクリックで拡大表示]
 NTTコムは2020年5月7日、社内セグメントのADサーバーに対する不正な遠隔操作を試みたログを検知した。遠隔操作の踏み台になった同セグメントのAD運用サーバーを同日中に緊急停止し、社内調査を進めた。その後、AD運用サーバーのアクセス元だった法人向けクラウドの運用サーバーを停止したり、マルウエアによる外部サイトとの通信を遮断したりした。

 実は、最初に侵入を許したシンガポールの運用サーバーは撤去予定だった。同サーバーを収容するデータセンターが老朽化し、2019年10月に新データセンターへの移転を計画していた。同サーバーも新しいものに切り替わる予定だった。まさに撤去直前のタイミングを攻撃者に突かれた。

 同サーバーは撤去を間近に控えていたこともあり、セキュリティー上の脅威を検出するEDR(Endpoint Detection and Response)を導入できていなかった。NTTリミテッド・ジャパンの飯田健一郎社長は「もっと対策の感度を上げておくべきだった」と悔やむ。

 攻撃者がどういった脆弱性を突いてシンガポールの運用サーバーに侵入したかについては「継続調査を実施したが、機器の撤去でログを確認できないため、原因を特定できなかった」(NTTコム)と説明する。』

『社員になりすまし
 もう1つは日本にあるVDI(仮想デスクトップ基盤)サーバー経由だ。シンガポールの運用サーバーを踏み台にした不正アクセスを調査する過程で、複数の社員が勤務日以外に社内のファイルサーバーにアクセスしていることを2020年5月25日に突き止めた。翌26日にはファイルサーバーのアクセス元がすべてVDIサーバーだったことが判明。さらに27日、何者かが社員になりすましてVDIサーバーにログインしていた事実を確認した。

 NTTコムは社員がVDIサーバーにログインする際、多要素認証を採用していた。具体的にはIDとパスワードとは別に、ランダムに並んだ数字の表を使う「マトリクス認証」を併用していた。同社の久野誠史デジタル改革推進部情報システム部門担当部長は「攻撃者は特殊な方法でVDIサーバーに接続していた」と打ち明ける。

 特殊な方法とは、マトリクス認証を無効化し、主にIDとパスワードだけでVDIサーバーにログインできるというものだ。久野担当部長は「我々も認識していなかったVDI全体の抜け道があった。攻撃者はちょっとした(システム上の)『穴』をいくつも組み合わせていた」と語る。

 攻撃者はこの抜け道を見つけ出し、不正入手した社員のIDとパスワードを使って自身の端末でVDIサーバーの認証を突破していた。しかもNTTコムはVDIサーバーへの接続時に端末のウイルス対策ソフトの種類やバージョンもチェックしていたが、攻撃者はこれらも把握し、インストールしたうえで侵入していた。2020年8月6日時点で社員のIDとパスワードの流出経路は判明していないが、社内セグメントのADサーバーからは流出していないことを確認している。

 NTTコムは緊急対応を既に済ませ、2020年5月26日時点でVDI全体の利用を停止した。翌27日に全社員のパスワードも強制リセットした。同社によると、27日以降、不正ログインがないことを確認できているという。

 ルートが異なる2つの不正アクセスに関連はあるのか。NTTコムの小山覚情報セキュリティ部部長は「(攻撃者が同一かどうかは)何とも言えない。攻撃元のアトリビューション(特定)は実施していない」と話す。ただ、どちらも「サイバー攻撃の専門集団」(同社)としている。

 あるサイバーセキュリティーの専門家は「同一の攻撃主体ではないか」としたうえで、「攻撃の途中でユーザーの認証情報を入手し、VDIサーバー経由の接続に切り替えたのではないか。正当なアカウントとパスワードを使ったアクセスのほうがより隠密な行動ができるからだ」と分析する。実際、攻撃者は日勤の時間帯しか動かず、「ばれないようにひっそりと活動していた」(久野担当部長)。攻撃者はメール送信といった目立つ行動も控えていた。

 別のサイバーセキュリティーの専門家は「BlackTechによる攻撃の可能性がある」と指摘する。BlackTechとは、中国政府との関係が噂されるサイバー攻撃集団だ。既に明らかとなっている三菱電機に対するサイバー攻撃にも関与したとされる。BlackTechの攻撃の特徴は「海外拠点の通信機器の脆弱性を利用する」(同)点にあり、特に情報通信や製造業、学術機関が狙われる傾向にある。

UEBAやEDRを導入
 NTTコムは再発防止を急いでいる。まず社員の正当なIDとパスワードを使った「なりすまし攻撃」により、影響範囲の特定に時間がかかった反省から、攻撃者の振る舞いを細かく把握できる「UEBA(Userand Entity Behavior Analytics)」を2021年3月までに本格導入する計画だ。EDRも2020年秋までに、サーバーも含めて全端末への導入を終える。

 サイバー攻撃の動向や企業のセキュリティー対策に詳しいラックの西本逸郎社長は「被害範囲の特定や封じ込めにEDRは有効だ」と語る。パソコンなどのログを詳細に洗い出す「フォレンジック」には、パソコン1台当たり2週間かかるケースもある。「EDRを導入すれば、こうした時間を大幅に短縮できる」(西本社長)。

 NTTコムはセキュリティー対策の有効性を検証する「Red Team」の人員拡充も検討する。社内のITやOT(制御技術)システムに対して、疑似的なサイバー攻撃を仕掛け、対策の実効性を評価する「TLPT(Threat Led Penetration Test)」のプランを策定し、それに合わせるような形で、Red Teamの体制の詳細を詰める。「今後は撤去予定の設備に対するセキュリティー対策も徹底する」(小山部長)。

 NTTコムで判明した今回のサイバー攻撃は多くの企業にとって対岸の火事ではない。新型コロナウイルスの流行により、企業はいや応なく在宅勤務の拡充などを迫られている。そんな中で、利用範囲が拡大するIT機器のセキュリティー水準をどう担保するか。早急に対策が求められる。』

「サイバー傭兵」の事例をイラン・露・中から

「サイバー傭兵」の事例をイラン・露・中から
更に「開発と攻撃者の分業化・専業化」の視点から
https://holyland.blog.ss-blog.jp/2020-08-03

 ※ 軍事関連情報に強い、マングースさんのサイトからだ…。

『防衛研究所が定期的に出す「ブリーフィングメモ」として、小野圭司・特別研究官による「サイバー傭兵の動向」との興味深い4ページの論考が掲載され、サイバー攻撃を支える「傭兵」とも考えられるハクティビスト(行動主義的なハッカー集団)の動向が紹介されています

ハクティビスト(行動主義的なハッカー集団)が生まれる背景には、まず、ソフトウェア開発が極めて知識集約的であることから、優秀なハッカーが個人や小集団で十分に世界をまたにかける競争力を獲得し得ること、また、サイバー人材は世界で400万人不足しているといわれるほど人材不足状態が続いており、自前で優秀な人材を確保することが難しく「外注化」が広がっており、サイバー攻撃でも同様の傾向が表れていることがあるようです

技量に優れハクティビストの主要プレーヤーとなるハッカー達は、権威や常識にとらわれず、組織の枠にも収まらないで行動する傾向が強く、サイバー攻撃で得た多額の報酬で豪華な生活を送っていることをSNS上でアピールする者もいるようですが、

一方で「アノニマス」に参加するハクティビストのように、社会的・政治的正義感から無償でサイバー攻撃に加わる特性も同時に備えるものも多く、このような者達がサイバー攻撃に参加する動機として、報酬以外の比重(自己顕示や達成感、正義感)が大きい場合が少なくなく、問題を複雑にしているようです

以下では、まず「サイバー傭兵」の事例をイラン・ロシア・中国の例で確認し、次に最近のサイバー攻撃の特徴をなしている「開発と攻撃者の分業化・専業化」の視点から、「傭兵」たちの生態に迫りたいと思います

サイバー傭兵の事例
●イランでは軍のサイバー軍設立(2006年)以前から、民間の技術者がハッカー集団(5-10名)を形成し米国のNASAや金融機関への侵入を行っていたが、イラン政府の依頼や指示でも活動するようになり、イラン情報機関への教育を担当したりもしていた。米政府も、イラン政府の依頼を受けたハッカー集団の攻撃を受けたことを公表しており、小組織が「競争力を有する」ことを証明した事例である

●2007年4月にエストニア政府機関サイトが攻撃を受けた事案では、ロシア下院議員が、自身の関係者がプーチン政権支持のサイバー技術者と共にDoS/DDoS攻撃を行ったことを認めており、ハクティビスト関与の事例である
●2008年の南オセチア事案でも、ロシア政府が犯罪者である民間人技術者が DoS/DDoS 攻撃に動員したと見られている。ロシアが犯罪者を非合法的な活動に従事させるのはソ連時代からの伝統で、例えば 2017 年には露保安庁(FSB)がサイバー犯罪者を使って、政府・報道・金融・交通関係企業者の個人情報をフィッシングしたことが明らかになっている

●中国でハッカー達は、国家に対して危険を及ばさない限り容認され、一部は国の支援を受けており、数万人から100 万人存在すると見られている。
●四川省のNCPH(Network Crack Program Hacker)に代表される大学生集団の中には、政府関係機関と密接な関係を有しているものがあり、例えば、2006 年の米国防省を含む米国政府機関への侵入は NCPH が行っている。これらハッカー集団は、中国では「サイバー民兵」や「情報専門民兵」と呼ばれており、2004 年の中国国防白書で初めてその存在を公式に認めている。
●中国は民間企業主体のサイバー民兵も組織しており、背景にはサイバー防衛・セキュリティ需要の急増がある。中国のサイバー防衛市場規模は 2011年には 28 億ドルだったものが、2016 年には 48 億、2021 年には 132億ドルを超えるものと予測されている。代表例の南昊科技公司は、ソフトウェア開発やスキャナなど電子機器製造企業だが、解放軍のサイバー民兵として、また解放軍のサイバー戦要員教育も請け負っている。

「開発と攻撃者の分業・専業化」から見る「傭兵」たちの今
●最近頻発しているランサムウェアのサイバー攻撃(身代金要求型)では、開発と攻撃者の分業化・専業化が指摘されている。かつてランサムウェアの開発者は自ら攻撃を行って収益を得ていたが、ファイル暗号化型ランサムウェアが台頭した 2013 年頃からRaaS(Ransomware-as-a-Service)と呼ばれるサイバー攻撃の請負・代行が確認されるようになった。
●RaaS では支払われた身代金を、開発者とサイバー攻撃請負・代行者の間で分配する。この仕組みにより、サイバー攻撃請負・代行者はランサムウェアを開発する手間を省いて簡便に金銭目当ての攻撃を行うことができ、逆に RaaS の提供者は自分の手を汚すことなく収益を上げることができる。収益の配分は開発者3-4割、攻撃者が6-7割と言われている

 ※ 世の中、X as a serviceになって行っているのは、知っていたが…。「X」にRansomwareまで入ることは、知らんかった…。
Emotet(エモテット)、EKANS(エカンズ)も、これか…。

●現在では、マルウェアに様々な形式の暗号化や圧縮を行って表面上のコードが異なる「亜種」を作成することで、サイバー防衛側による検出を回避することが常套化しており、また、サイバー攻撃請負・代行者の収益分配率を高くすることで、不特定のサイバー攻撃者を多数動員することが可能になっていると見られている。
●かつては、攻撃企画側は報酬用資金を事前に準備する必要があったが、資金力が無くてもソフトウェアの開発能力に優れる者は、ランサムウェアで身代金を獲ることができるので、それを前提にサイバー攻撃の請負・代行者(傭兵)を集めることも可能となる。このようにランサムウェアの普及で、サイバー傭兵の活用やサイバー攻撃代行に新しい傾向(元手は必ずしも必要ない)が生じたと言えよう。

●IT・サイバー技術者(ハッカー)は「権威や常識にとらわれず、組織の枠にも、はまらない」と述べたが、彼等は自由な情報交換と知識の共有のため非合理的な官僚主義を忌避し、政府や体制に対する批判勢力を形成することがある。その代表的なものの 1 つが、ウィキリークス(WikiLeaks)である
●この運動が攻撃代行的なサイバー傭兵と大きく異なるのは、経済的利益(報酬)の追求が動機ではない点にある。つまり彼等は報酬を得ることを目的としておらず、主に行政機関や大企業を対象に、不正や理不尽に関する情報入手し、ネット上で世に告発するという懲悪義賊的な社会貢献を目指していた。

●注目を集めている集団に、「アノニマス」がある。これは不特定多数のハッカーが、「抽象的ではあるが誰もが賛同しやすい大義」の下に即興的に集まったもので、主にDoS/DDoS 攻撃を実行する。その中核ハッカーの技量は相当高いと見なされるが、不特定多数のハッカーを即興的に集めることから、長期的・計画的な攻撃には向いていない。DoS/DDoS攻撃は攻撃手順も単純で、調整負担も軽くて済むので、即興的組織に適している

(※ セキュリティ意識の薄いヤツのPCは、みんな、この「DoS/DDoS攻撃」の「踏み台」にされる…。最近では、「ネットワーク・カメラ」等の「ネットワーク接続デバイス」も、「踏み台」になっている…。その踏み台の「一覧リスト」まで、出回って、取り引きされているらしい…。大体、自分のシステムの「挙動不審」を、タスクマネやリソース・モニターで調べないヤツが多すぎる…。酷い場合は、「出し方すら、知らない。」ことがある…。)

●付和雷同型のハクティビスト集団は、膨大な人数が徒党を組むことがある。この性質を有する彼等を自らの思う方向に利用した世論の誘導・世論工作も行われている
●欧米のハクティビストの多くは自由主義的な反体制の政治思想を共有しているが、中国の場合には、特に 2000 年前後に活発に活動した集団(「中国紅客連盟」や「中国鷹派連盟」等)は愛国主義的な傾向を持ち、中国政府もその限りにおいて、外国に対するサイバー攻撃を行う彼等を泳がせていた。その活動が中国の大衆から支持され、「英雄」として祭り上げられたことも、活動の動機として大きな比重を占めていた

●ハクティビスト集団は一般に、「不正・理不尽」を正すとの正義感を持っており、中国の集団も、外国は誤っており理不尽だと考えている。ただこの「不正・理不尽」の判断は各ハッカーが独自に行うので、集団の中でこの判断の差異が顕在化すると、集団そのものが瓦解する危険がある。実際にアノニマスも、内部では派閥争いが絶えず生じている。このため中国も習近平政権になってからは、ハクティビストへの監視・管理を強め始めたと言われている。
/////////////////////////////////////////////////////

基礎知識が薄い分野ですので、長々と引用してしまいました。サイバーと宇宙については、なじみの少ない方が多いと思うので、防衛研究所には発信の頻度を上げていただきたいものです
「ハクティビスト集団」は信用できるのでしょうか? 2重スパイ・3重スパイ的に動き回る者や、ブローカー的な輩が暗躍しないかと心配になります。

でもこのような人たちが、クリック一つで社会を混乱させることが可能な世界って何なんでしょうか?抑止の議論が可能なんでしょうか???

「ダークウェブ」との、闇の深い世界のお話でした

防衛研究所webサイト
http://www.nids.mod.go.jp/

サイバー関連の記事
「過去最大のサイバー演習を完全リモート環境で」→https://holyland.blog.ss-blog.jp/2020-06-22
「海兵隊サイバー隊が艦艇初展開」→https://holyland.blog.ss-blog.jp/2020-04-08
「サイバー停電に備えミニ原発開発」→https://holyland.blog.ss-blog.jp/2020-03-07
「米国務省のサイバー対策はデタラメ」→https://holyland.blog.ss-blog.jp/2020-01-27
「やっとサイバー部隊に職務規定が」→https://holyland.blog.ss-blog.jp/2020-01-13
「喫緊の脅威は中露からではない」→https://holyland.blog.ss-blog.jp/2019-11-16
「ハイブリッド情報戦に備えて」→https://holyland.blog.ss-blog.jp/2019-09-05
「ドキュメント誘導工作」を読む→https://holyland.blog.so-net.ne.jp/2019-07-22-1
「サイバー攻撃に即時ミサイル反撃」→https://holyland.blog.ss-blog.jp/2019-05-11-1
「NATOが選挙妨害サイバー演習」→https://holyland.blog.so-net.ne.jp/2019-04-13
「サイバーとISR部隊が統合して大統領選挙対策に」→https://holyland.blog.ss-blog.jp/2019-10-19
「ナカソネ初代司令官が語る」→https://holyland.blog.ss-blog.jp/2019-02-17
「大活躍整備員から転換サイバー戦士」→https://holyland.blog.so-net.ne.jp/2019-01-26-3
「サイバー戦略がもたらすもの」→https://holyland.blog.so-net.ne.jp/2018-11-02
「市販UAVの使用停止へ」→https://holyland.blog.so-net.ne.jp/2018-07-07-1
「サイバーコマンドの課題」→https://holyland.blog.so-net.ne.jp/2018-03-04
「サイバー時代の核兵器管理」→https://holyland.blog.so-net.ne.jp/2018-05-02

「人材集めの苦悩」→https://holyland.blog.so-net.ne.jp/2018-01-31
「米空軍ネットをハッカーがチェック」→http://holyland.blog.so-net.ne.jp/2017-12-23
「米国政府サイバー予算の9割は攻撃用!?」→http://holyland.blog.so-net.ne.jp/2017-03-31
「装備品のサイバー脆弱性に対処」→http://holyland.blog.so-net.ne.jp/2016-09-02

工場を“人質”に、ホンダ狙った「標的型」攻撃

https://xtech.nikkei.com/atcl/nxt/column/18/00001/04260/?P=2

『なぜ、今回の事例ではランサムウエアへの感染が工場の生産・出荷にまで影響を及ぼしたのか。報じられている情報によると、出荷前に製品の不具合の有無を確認する「完成車検査システム」と工場のコンピューターが接続できなくなったから、とされている。』
『今回のホンダの事例において、実際にどのような経路でマルウエアが社内ネットワークに侵入したかについては、公表されている情報からは分からない。一般に、以下の方法が考えられる。

・「フィッシング」と呼ばれる実在の組織や個人になりすました電子メールによるマルウエアの送り込み
・組織がインターネットに公開しているサーバーからの不正侵入
・代理店などの取引先を踏み台とした侵入
・USBドライブや制御システムの保守用端末などのモバイルデバイスを通じたマルウエアの送り込み
・生産設備のリモートメンテナンス用設備の悪用
・従業員による意図的な持ち込み(内部不正)
 報告されたランサムウエアには、ホンダ社内の情報系ネットワークに関する具体的な知識を活用している痕跡があった。このことから、実際に攻撃を発動する前に、何段階かの偵察的な侵入行為があった可能性もある。』
『〔工場は情報部門が「関わりたくない」領域〕
 製造業としては、事業に直結する生産プロセスの可用性・継続性を確保するためのセキュリティー対策を進めることが重要だ。そのためには、製造部門と情報部門が連携し、制御系ネットワークと情報系ネットワークを含めた全体の対策を検討・推進して必要がある。

 ところが、製造部門と情報部門の間で組織的あるいは文化的な相違があり、円滑なプロジェクト推進の妨げになっているケースが見られる。制御系ネットワークは、生産システムの付帯設備として製造部門が管理しており、従来は情報系ネットワークに接続していなかったこともあって、伝統的に情報部門の管轄外である場合が多い。情報部門の担当者にとって、内情が分からず、あまり関わりたくない領域である。一方、製造部門の担当者も、生産業務に必ずしも精通していない情報部門には口出しをしてほしくないと考えているものだ。

 このような歴史的経緯がある中、組織横断でセキュリティー対策を進めるには、トップレベルの経営幹部によるコミットメントや支援が何よりも重要となる。現場レベルでは、製造部門と情報部門の間での、価値観や文化、背景知識、言語などの相違がハードルとなり得る。こうした課題の解決に向けたアプローチの1つとして、両部門から少人数のコアチームを組成し、サイバーセキュリティー対策の対象となる資産の棚卸しや、その資産について事業/生産プロセス/品質管理といった観点からの重要度付け、解決すべき課題の洗い出しなどを実施することが効果的だ。1~2日のワークショップを開き、チームで一緒に議論し、一定の結論を出すとよい。共通の目標や課題を共有し、協働することで得られる共感や一体感が、以後のプロジェクトを進める上での土台になる。』

 ※ ヤレヤレな話しだ…。
 セキュリティーの強化、セキュリティー対策という「プライオリティー」の前では、「制御系ネットワーク」とか、「情報系ネットワーク」とかのへったくれも何も、無いだろうに…。
 そういう「セクト主義」的な振る舞いは、トップが一喝しないとな…。ホンダの社長の八郷さんは、経歴( https://ja.wikipedia.org/wiki/%E5%85%AB%E9%83%B7%E9%9A%86%E5%BC%98 )見ると、けっこうな猛者(もさ)なんだが…。やはり、なにかと遠慮があるのか…。あるいは、「ITとか、セキュリティーとか、ワシャよく分からん…。良きに計らえ。」というよくあるタイプなのか…。
 まあ、大企業になればなるほど、「セクト主義」「タコつぼ主義」が蔓延って(はびこって)、ニッチもサッチもになるんだろう…。

『具体的なサイバーセキュリティー対策としては、(1)見える化(Visibility)、(2)事前防御(Security Control)、(3)継続監視(Monitoring & Management)、という3つの観点で技術と管理プロセスを導入することが効果的だ。

 (1)の見える化は、あらゆるマネジメントの基本である。存在を把握していないものは管理できないし、セキュリティー対策も実施できない。

 制御系ネットワークでは、管理責任者が不明な保守用端末やリモートアクセスの出口など、いわゆる「シャドーIT」が存在する場合が多い。IT資産管理ツールやネットワーク分析ツールを活用することで、ネットワークの最新状況を効率的に一元管理することが可能になる。

 (2)の事前防御では、ファイアウオールやエンドポイントセキュリティーなどの一般的なセキュリティー対策技術を活用することが有効だ。制御系ネットワークに対しては、可用性や応答性能などの要件から情報系ネットワークと全く同じ対策を一様に導入することが難しいケースもある。

 だが、ネットワークの分割やアクセス制御など、生産オペレーションに影響を及ぼさない範囲で効果的な対策を導入することは可能である。例えば、ネットワークをセグメント化しておくことによって、サイバー攻撃の難度を高めるとともに、サイバー攻撃を受けた際の被害範囲を最小限に抑える効果も期待できる。

 (3)の継続監視も重要だ。防御側が外部とのあらゆる接点で完璧な事前対策を実施することは時間的にもコスト的にも実質的に不可能である。ホンダの事例のような標的型攻撃では、前述の通り事前に偵察的な行為がなされることがあり、継続監視によって偵察行動を察知できれば、被害が発生する前に対応できる可能性が高まる。』

ホンダを標的に開発か、ランサムウエア「EKANS」解析で見えた新たな脅威

ホンダを標的に開発か、ランサムウエア「EKANS」解析で見えた新たな脅威
(外薗 祐理子 日経クロステック/日経コンピュータ)
https://xtech.nikkei.com/atcl/nxt/column/18/00989/062400028/

『パソコンやサーバーのファイルを暗号化し、解除のための身代金を要求するランサムウエアが、特定の企業を狙う標的型に進化している。ホンダを襲ったとされるランサムウエアを解析した日本のセキュリティー技術者は工場を持つ製造業や医療機関などが狙われると警鐘を鳴らす。

サイバー攻撃でホンダの工場が停止
 ホンダは2020年6月8日にサイバー攻撃を受け、世界的な大規模システム障害を起こした。国内外の工場で生産や出荷が一時止まったほか、本社などで働く従業員のパソコンが使えなくなるなどオフィス系のネットワークシステムにも影響が出た。この影響で生産を停止した米オハイオ州の乗用車工場やブラジルの二輪工場は現地時間の6月11日までに復旧した。

 同社はサイバー攻撃を受けた事実は認めるものの、詳細については「セキュリティー上の観点から公表しない」(広報)とする。これに対し、セキュリティー専門家の間ではホンダはランサムウエアの感染被害に遭ったとする見方が強まっている。

 ランサムウエアとはマルウエア(不正で有害な動作を引き起こす意図で作成された悪意あるソフトウエアや悪質なコード)の一種だ。コンピューターに侵入してファイルを暗号化して使用不能にしたうえで「元に戻したければ身代金を払え」という内容の脅迫文を操作画面に表示する。ランサム(ransom)とは英語で「身代金」という意味だ。身代金の支払いにはビットコインなどの暗号資産(仮想通貨)が使われる。

半年間の感染台数は世界で9台
 ホンダへのサイバー攻撃に使われたランサムウエアは「EKANS(エカンズ)」または「SNAKE(スネーク)」と呼ばれる種類といわれる。EKANSは2019年12月に見つかった比較的新しいランサムウエアだ。

 トレンドマイクロによると同社の製品がEKANSを検出した端末の台数は2020年6月までに世界でわずか9台のみ。「EKANSは不特定多数へのばらまき型攻撃で使われるのではなく、特定の企業や組織を狙った標的型攻撃で使われる」と同社の岡本勝之セキュリティエバンジェリストはみる。

 実際にEKANSは、2020年5月の欧州最大級の民間病院運営会社であるドイツのFresenius(フレゼニウス)へのサイバー攻撃や、6月のイタリアのエネルギー大手Enel Group(エネルグループ)へのサイバー攻撃でも使われた。

 ホンダでシステム障害が起こった2020年6月8日、セキュリティー専門家の1人がマルウエア検索サイト「VirusTotal」にホンダのサイバー攻撃に関わったとされるランサムウエアの検体を登録した。この検体の内部構造を三井物産子会社の三井物産セキュアディレクション(MBSD)が解析した。

ホンダ内部のネットワークかを自己判断
 「ホンダ内部のネットワークでしか動作しないように作り込まれていた」――。こう話すのは解析に当たったMBSDの上級マルウェア解析技術者である吉川孝志氏だ。吉川氏は検体の5つの特徴を割り出した。

 第1の特徴は、ホンダの社内ネットワーク内部にいると確認できた場合のみ感染を広げるように作られている点だ。

 具体的には、「mds.honda.com」という外部に公表されていないホンダ社内ドメインの名前解決を試み、その結果が「170.108.71.15」という特定のIPアドレスであるかをチェックする。上記IPアドレス以外であれば何もしない。

特定のIPアドレスに名前解決ができる環境で動かすとEKANSは動作を継続する
(出所:三井物産セキュアディレクション)
 吉川氏によれば上記IPアドレスはホンダの米法人のものだという。「情報流出していたのかハッキングしたのかは分からないが、攻撃者はあらかじめホンダの社内ネットワーク情報を収集してから(マルウエアを)開発したと推測できる」(吉川氏)。

第2の特徴は、通信妨害にWindowsが備える正規のファイアウオールを使う点だ。今回の検体は名前解決できる環境にいると分かると、ファイルの暗号化に先立ってネットワーク通信を妨害する。これにより端末内部の多くのソフトが通信できなくなる。

 今回の検体はWindowsが備えるネットワーク設定ツールを使って正規のファイアウオールの設定を変える。「マルウエア自体の機能を使うと不正な挙動としてマルウエア対策ソフトに発見されやすくなる。正規のファイアウオールを使うのは検知から逃れるためと考えられる」(吉川氏)。暗号化が終わればファイアウオールの設定を戻し、通信に対する妨害を解く。

 さらに今回の検体はネットワーク通信を妨害した後に、暗号化の邪魔になりそうな様々なサービスを強制終了させる。吉川氏の解析によると、強制終了リストには主要なセキュリティーベンダーのマルウエア対策ソフトやバックアップソフト、データベースソフトのほかICS(産業制御システム)機器関連などもあったという。

 パソコンの異変に気づいたIT担当者が対処しにくくするため、リモートデスクトップ(RDP)などの遠隔操作ソフトも強制終了する。WordやExcelといったオフィス系ソフトをはじめ、「強制終了リストに記載されているプロセスだけでも1500ぐらいある」(吉川氏)。

 「膨大な強制終了リストを攻撃者が毎回作っているとは考えにくい。他のランサムウエアも同様のリストを持っており、おそらくアンダーグラウンドで共有されているのではないか」と吉川氏はみる。

ドメインコントローラーとそれ以外を見分ける
 第3の特徴は、暗号化に際してそのコンピューターがドメインコントローラーかそれ以外かを見分ける点だ。ドメインコントローラーとはあるネットワークドメインにおけるアカウントやアクセス権限などを一元的に管理するサーバーや、それを動かすコンピューターを指す。

 通常のランサムウエアはファイルを暗号化した後で脅迫文を送りつける。しかし今回の検体の場合、ドメインコントローラーではないコンピューターについてはシステムファイル以外の全ファイルを暗号化するだけで、脅迫文は送らない。暗号化されたファイルには暗号化前のファイル名やAESキーなどを含むフッターを追加し、さらにその末尾に「EKANS」という5文字を入れ込む。

検証用に用意したファイルをEKANSが暗号化した
(出所:三井物産セキュアディレクション)
 今回の検体が起動したコンピューターがドメインコントローラーの場合はファイルを暗号化せず、パブリックデスクトップなどに脅迫文のみを送る。脅迫文には「企業ネットワークを突破してファイルを暗号化した。復旧にはファイル復号ツールを購入する必要がある」旨のメッセージと連絡先メールアドレスを記載する。

なぜドメインコントローラーにのみ脅迫文を送るのか。吉川氏はその理由を「一般社員が脅迫文を見てもあまり意味がない。工場などは無人環境でシステムを運営するケースも多いため、効率を考慮してシステム管理者だけに送る設定にしたのだろう」と推測する。

 「今回の検体の一連の挙動はドメインコントローラーに侵入できる前提で開発されていることを示唆する。最近のランサムウエアは暗号化前に情報を抜き取るケースも多い。今回の検体がファイルを盗んだ形跡は現時点では確認していないが、ホンダが内部情報を抜き取られた可能性はゼロではない」(吉川氏)。

過去ホンダを襲った「WannaCry」と異なる特徴
 第4の特徴は、米Google(グーグル)のGo言語で開発されている点だ。Go言語であればWindows用に開発していてもMac用やLinux用に転用が容易だ。このメリットは攻撃者にとっても当てはまる。

 さらにGo言語はC言語などに比べてコンピューターが自動的にコードを記述する割合が高く、人間が記述するコードが少ない。そのため「解析者からするとどのコードを攻撃者が意図して書いたのかが分かりにくい」(同)。この点も攻撃者に有利に働く。

 第5の特徴は、自身を複製して他のシステムに拡散する「ワーム」機能がないという点だ。2017年にホンダや日立製作所など世界中の企業を襲った「WannaCry(ワナクライ)」や「NotPetya(ノットペチャ)」と呼ばれるランサムウエアはワーム機能を備えていたために被害が急拡大したとされる。

 「ワーム機能を付けると攻撃者が意図する範囲を越えて攻撃が拡散する可能性がある。攻撃者はドメインコントローラーに侵入できる前提だったため、自分の想定以上に被害を広める必要はないと判断したのではないか」。こう吉川氏はみる。

 さらに吉川氏は「近年のランサムウエアはばらまき型より、今回の検体のように攻撃対象の企業に挙動を合わせて開発する傾向が高くなっている」と指摘する。とりわけシステム停止が業務に甚大な損害をもたらすため、身代金の支払いが期待できる製造業や医療機関、個人情報を扱う法律事務所などが標的になっているという。

 ばらまき型はマルウエアをセキュリティー企業などに収集され対策されやすいうえ、個人のパソコンに感染する場合もある。これに対し、多額の身代金を払ってでもシステム停止を回避したい業種や企業に的を絞ってランサムウエアを開発するほうが対策されにくく身代金をせしめやすい――。今回の検体の分析からはこうした攻撃者の動向が読み取れる。

テレワーク常態化に合わせた対策が急務に
 ホンダにEKANSが侵入したのか、侵入したとすればどういう経路だったのかは明らかになってはいない。吉川氏は「一般的に標的型ランサムウエアはRDPやVPN(仮想私設網)などを入り口にするケースが多い」と話す。

 テレワークがニューノーマル(新常態)として広まるなか、企業はRDPなどのサービスが不必要に外部に公開されていないかを確認したり、アクセス制限を再確認したりといった対策が欠かせない。さらにネットワークセグメントの細分化や重要データの定期的なバックアップ、バックアップデータの隔離などの対策も追加する必要があるだろう。』

 ※ 「エモテット(Emotet)」もヒドかったが、この「EKANS(エカンズ)」というのも、ヒデーな…。
 世界中がリアル・ウイルスでてんやわんやしている間にも、「コンピュータ・ウイルス」の作成者たちは、黙々と仕事に勤しんでいたわけだ…。みんなが「巣ごもり」「自主隔離」していたんで、却って怪しまれなくて、好都合だったかもな…。
 大体、上記の記述にある「内部者情報」も、エモテット(Emotet)の攻撃で抜いたという可能性は無いのか…。
 エモテット(Emotet)+EKANS(エカンズ)の「合わせ技」とか、ウンザリな話しだ…。

 オレのところにも、「Amazon account-update」を名乗る「標的メール」が、1日平均2個は送付されて来るぞ…。「あなたのアカウントの更新ができませんでした。つきましては、ここにアクセスして、対処して下さい。」というものだ…。
 前は、「送信者」の名義が明らかに怪しいものだったので、すぐに分かるような代物だったが、最近は「巧妙化」して、htmlメールの「ソース」を表示して、調べないと「分からない」ように進化している…。
 それでも、「形態」がいつも似たようなものなんで、それで分かる…。何かの「ひな形」を使っているんだろう…。
 しかし、それでも「標的メール」フォルダに移動したりしないとならないので、オレの人生は削られる…。ウンザリな話しだ…。

 Win7までは、ジャストシステムのShurikenというメーラーを使っていた…。これは、メールの自動分類機能が優れていて、愛用していた…。だけど、Win10になってから、うまく動作しなくなった…。それで、泣く泣くThunderbirdに替えた…。これだと、タグとマークは付けられるが、Shurikenのような自動分類機能は見あたら無い…。それで、大分手間が増大してしまった…。
 と思っていたが、今ネットで調べると、「フィルターの設定」というものがあって、これをうまいこと設定すると、自動分類できそうだ…。ただ、「本物の」アマゾン関係のメールも「標的メール」に分類されそうで、そこをクリアできるのか…。まあ、やってみよう…。
 セキュリティーの向上を図ると、「不便さ」は増加する…、という良い例だ…。