パソコン操作中に、突然警告音が鳴りすぐに電話するように表示された

パソコン操作中に、突然警告音が鳴りすぐに電話するように表示された
https://www.kokusen.go.jp/t_box/data/t_box-faq_qa2016_39.html

『[2018年12月27日:更新]
[2017年3月29日:公表]

 質問

 パソコンでインターネットを利用中に、突然ピーピーピーとけたたましい警告音が鳴り、画面に「あなたのコンピューターはウイルスに感染したので、すぐ○※△×□に電話してください」と指示が出ました。あわてて電話したところ、遠隔操作で警告音を止めてもらい、ウイルス対策の有償サポートを勧められたので、クレジットカードで支払いをしてしまいました。解約したいのですがどうしたらいいでしょうか?

回答

 警告音を発したり、パソコンがウイルスに感染したとの偽の警告を画面に表示させ、ウイルス除去のサポートを勧めるといった相談が全国の消費生活センターに寄せられています。

 業者から契約内容等に関するメールが来ていないか確認するとともに、支払いをクレジットカードでしたとのことですので、カード会社に連絡し、事情を丁寧に説明し、請求の停止等が可能か相談しましょう。

解説

 パソコンでインターネットを使用中に突然大きな警告音が鳴りやまず、「あなたのパソコンがウイルスに感染しています」「問題解決のためこちらに電話ください」などのポップアップ表示が出て画面から消えず入力作業もできなくなるため、慌ててしまい表示された番号に電話をかけてしまうことによるトラブルが増えています。

 電話をかけると、業者のオペレーターが「サポートのため遠隔操作を可能とするソフトをインストールするように」要求し「遠隔操作でパソコンのウイルスを調査する」と言いファイルを開くなど調査しているふりをします。消費者が「ウイルス対策ソフトを入れている」と言っても「ソフトでは対応できないものに感染した可能性がある」などと説明してきます。

 指示どおりに操作をすると警告音や警告文は消えるので、消費者は信じてしまいます。
 音声による警告で電話をかけるよう誘導するという手口は海外では2012年ごろから確認され、日本でも一昨年から徐々に増えています。手口が巧妙化しており、全国の消費生活センターには「クレジット契約した。解約したい」などといった相談が寄せられています。

 危険なサイトに接続されないようにセキュリティソフトを入れアップデートを実施するなど、日頃からセキュリティ対策を心がけましょう。警告音や警告表示が出て不安を感じても、画面に表示された連絡先に電話をかけないでください。

 なお、このようなトラブルの仕組みや対応については、独立行政法人情報処理推進機構(IPA)のサイトで紹介されています。

参考

インターネット使用中に突然表示される偽セキュリティ警告画面にご注意!
ウェブサイト閲覧中のニセの警告音にだまされないで
情報セキュリティ安心相談窓口(IPA:独立行政法人情報処理推進機構)
「ウイルスを検出したと音声で警告してくるウェブサイトにご注意!~ ウイルス検出の偽警告に騙されないで ~」(IPA:独立行政法人情報処理推進機構)
ブラウザに「ウイルスを検出した」という旨の警告が表示されて終了させることができない場合の対応手順(IPA:独立行政法人情報処理推進機構)[PDF形式]

※[PDF形式]で作成した文書を開くにはAdobe Readerが必要となります。PDF形式の閲覧方法について 』

突然ハッキングされた→11os快適

突然ハッキングされた→11os快適
http://1qazxsw2.cocolog-nifty.com/blog/

 ※ (一部、省略)

 ※ 『あるいは、私のように、3日6pm前に、pcが突然アラームを告げ、ハッキングされpcが使えなくなってしまったのか。

画面に電話されたしとある番号にかけてみると、たどたどしい日本語でインド人らしき名前を名乗る人物が、自分はマイクロソフト社の社員で社員証もある、奥さんのpcはハッキングされ修復が必要だという。

私が奥さんではないというと、それではどう呼べばよいのかと聞いてきたので、旦那さんと呼ぶよう指示した。

ー-

ところが、相変わらず奥さんと言ってくる。

彼の指示に従って操作すると、どうやらpcが完全に乗っ取られたようで、画面に相手の社員証が映し出された。

写真の男(本人ではないだろうが)はやはり、インド人ぽく見えた。

ー-

男は修理費が6万4千円だという、払えないと粘ると、5万円にしとくと下げてきた。

これは、もうハッカー本人であり、相手をしているだけ無駄だと、ルーターからケーブルを抜いて、ネットから離れた。

pcをシャットダウンしようとするとソフトが残っていますがシャットダウンしますかと聞いてきたので強制終了した。

ー-

やはりウインドウズ8.1osは、セキュリティが弱かったようだ、マカフィーを入れていたのに、ハッキングされてしまった。

ー-

後で調べると、eo光から有料でマカフィーを買って使っていたのに、うまく導入できていなかった。

このpcは、もう10年以上も使っており、8.1osはセキュリティも脆弱だとされ、アフターサービスも来年には終了するので、11osに変えようとしたがスペックが足らなかった、それで買い替えようと思っていたところだった。

もう外は暗かったがすぐにジョーシンに買いに行った。

ー-

デスクトップ型は、種類が限られており、ちょうど割引期間中であったが、安い機種はすべて売れていた。

それで結局SSD2Tのハイスペックのものを5千円引きで買うことになった。

帰宅後すぐにセットアップ、すると実に快適で、すぐに立ち上がる、早く買い替えておけばよかったと思っている。

ひょっとすると、ソロさんもpcが使えなくなったのではないかと心配しています。』

[FT]中米コスタリカ 4月のランサム攻撃の後遺症

[FT]中米コスタリカ 4月のランサム攻撃の後遺症
https://www.nikkei.com/article/DGXZQOCB113CD0R10C22A7000000/

 ※ 今日は、こんなところで…。

『中米コスタリカ政府のデジタルガバナンスを統括するホルヘ・モラ氏は4月、部下の1人から報告を受けた。「(サイバー攻撃を)抑え込めませんでした。サーバーを暗号化されたため、全体を遮断しています」

コスタリカ政府へのサイバー攻撃に対し、チャベス大統領は緊急事態宣言を発動した=ロイター

悪名高いロシアのランサムウエア(身代金要求型ウイルス)の攻撃集団「Conti(コンティ)」による大規模なサイバー攻撃について、モラ氏は状況の最新報告を受けているさなかだった。攻撃は財務省から始まって連鎖的に広がっていき、最終的に数週間で27の政府機関が巻き込まれた。

政府のセキュリティーリスクが浮き彫りに

「規模の点で目を見張るような攻撃」(ある西側当局者)だった。ハッカーは通常、単一のシステムに不正アクセスするが、コスタリカのケースは国のIT(情報技術)インフラ全体のセキュリティーが弱い場合のリスクを浮き彫りにした。コンティは数週間、あるいは数カ月かけて、1つの省から別の省へと移りながら政府のシステム内を掘り進んでいた。

コンティ側は、最高2000万ドル(約27億円)の支払いと引き換えにデータを返すと持ちかけた。だが、コスタリカ政府は身代金の支払いを拒否した。新大統領に就任したロドリゴ・チャベス氏は緊急事態宣言を発動し、「裏切り者」さがしに乗り出すとともに、米国やスペインなどITに強い同盟国の支援に頼った。

「我々は戦争のさなかにある。これは誇張ではない」。5月半ばの大統領就任の数日後、チャベス氏はこのように述べ、テロに匹敵する混乱の全容を隠していたとして前政権を非難した。

コンティとのにらみ合いが続く中、コスタリカのデジタルインフラは数カ月にわたって部分的にまひし、オンライン徴税ができなくなったほか、公共医療と公務員の給与支払いに混乱が生じた。

その一方でコンティ側も、ウクライナ紛争で火がついたハッカー界の地政学的対立が波及して立ち行かなくなった。コンティが2月24日のロシアによるウクライナ侵攻への支持を表明した後、ウクライナ人とされる雇われハッカーの1人が裏切り、報復行為としてツールキットや内部のチャットなど秘密情報をインターネット上に流出させた。

英サイバーセキュリティー会社ダークトレースで脅威の分析を統括するトビー・ルイス氏によると、コスタリカがサイバー攻撃による影響への対処を続ける一方、コンティの大部分は情報流出後に瓦解したという。

ロシアのウクライナ侵攻で消えた攻撃集団

「2022年初めの時点では、今年もコンティのような集団が跋扈(ばっこ)してかなりの金を稼ぐ1年になる見通しだった」とルイス氏は言う。「それがロシアのウクライナ侵攻で全て終わった。ビジネス的に見て、ロシアを支持したのは最悪の判断だった」

コンティの過去最大規模の攻撃は、その最後の攻撃となった。セキュリティー調査専門家らによると、コンティがコスタリカなどの被害者をあざ笑っていたホームページと、(匿名性の高い闇サイト群の)ダークウェブ上にあった交渉サイトは6月末までに閉鎖された。

攻撃が広がっていく中で、モラ氏のチームはハッキングが他の政府機関に広がるのを遅らせるためにほぼ1カ月の間、毎日4時間睡眠で対応にあたったと同氏は語る。スペインからは、同国の国立暗号化技術センターが開発したランサムウエア対策用の保護ソフトウエア「マイクロクローディア」が届けられた。

米国は支援チームを派遣するとともに、マイクロソフトやIBM、シスコシステムズのソフトやノウハウを提供した。米国務省はコンティやその支援者を裁きにかけるべく、最高1500万ドルの賞金を出すと発表した。

モラ氏は、攻撃後の自分たちの懸命な努力と協力がなければ「財務省と同様の攻撃が50件起きていたはずだ」として、チャベス氏の批判を退けた。

ITシステム復旧はさらに複雑な状況に

だが、コンティが崩壊したことでコスタリカのITシステムの復旧努力は一層複雑な状況となっていた。捜査状況について説明を受けた西側のある当局者は、2000万ドルから100万ドルの間で揺れ動いた身代金の支払いにチャベス氏が応じていたとしても、「向こう側に誰がいたのか定かではない。6月までに、いわば誰も電話に出ない状態になっていた」と語る。

イスラエル企業サイバーイントのセキュリティー研究者シュムエル・ギホン氏は、「コンティはコスタリカで名を残そうと最後の必死の試みに出たような状況だった。なんとか評判を得ようとしていた」と語る。

これまでコンティは推計約400人のハッカーに加え、ツールキットを貸す不特定多数の協力者がいるとされ、21年には少なくとも600の標的から合計数億ドルの暗号資産(仮想通貨)を得ていたが、コスタリカへの攻撃から数週間で人員はたちまち数十人まで減った。
だが、別の形で再編成している形跡もある。その1つは、勃興から数カ月間で50の組織をサイバー攻撃した「BlackBasta(ブラックバスタ)」と呼ばれる集団だ。セキュリティー専門家らは、その攻撃スピードから、コンティから離脱した要員が攻撃対象のITインフラに関する情報を持ってブラックバスタに流れているようだとみている。

一方、コスタリカは4月のサイバー攻撃による影響への対処を続けている。ランサムウエア攻撃が成功した場合は全てそうであるように、ハッカー側から鍵をもらう以外にデータの暗号化を解除する方法はなく、ほとんどのシステムは、ウイルスに感染していないことを確認したバックアップデータで最初から作り直さなければならない。このプロセスは数カ月、場合によっては1、2年かかる可能性もある。

紙とメールでの作業を余儀なくされた通関業務

先ごろまでコスタリカは通関業務を紙と電子メールに頼らざるを得ず、全体に遅滞が生じていたと話すのは、輸出入関連サービスを提供する企業グルポ・デサカルガのモニカ・セグニニ社長だ。

「これはつまり、何年も使われていなかった保管スペースにコンテナが何日も滞留し、追加の費用を払わなければならないということだ」。そう説明するセグニニ氏の会社は法人税を自主的に納付しているが、管理されていない状態だという。「私たちはグレーゾーンで活動している」

政府高官は、通関や給与支払いを含めて、現時点で財務省のシステムの多くは復旧していると話した。

認知症にかかっているアレハンドラさん(65)の夫がインタビューで語ったところでは、コスタリカ国民への医療も滞っている。アレハンドラさんの場合は医師らが磁気共鳴画像装置(MRI)による以前の画像にアクセスできず、可能になるまで待たなければならないという。

理科の教師で低所得地区にある技術専門学校のアドバイザーを務めるスルマ・モンヘさんは、システムが時間外勤務を処理できなくなっているために給料が40万コロン(約8万円)少なくなっているという。

モンヘさんは貯金を取り崩して2人の子供の学費と、2つ目の学位取得を目指す自分の授業料を支払っている。「こんなことは今までなかった。遅れている給料がいつ支払われるのか、(財務省は)私たちに答えを示していない」

アルバラド・ブリセーニョ科学技術・通信相は、サイバー攻撃の再発防止に向けた取り組みも全て順調であるわけではないことを認める。

「Hive(ハイブ)」と呼ばれるハッカー集団は、コスタリカの社会保障サービスにサイバー攻撃を仕掛けた。スペインから供与されたセキュリティーソフトは2万セットのうち13セットしか実装されていない。

「大統領は不安を隠さず、非常にいらだっていた。我々はすでに攻撃を阻止するツールを少なくともいくつか入手し、攻撃は起きなかった」とアルバラド・ブリセーニョ氏は語った。「我が国はこれまで、この問題を必要なレベルで重大に受け止めていなかった。学んだ教訓は何か? 全ての機関に必要なサイバーセキュリティーを完備する出費を惜しむなということだ」

By Christine Murray & Mehul Srivastava

(2022年7月9日付 英フィナンシャル・タイムズ電子版 https://www.ft.com/)

(c) The Financial Times Limited 2022. All Rights Reserved. The Nikkei Inc. is solely responsible for providing this translated content and The Financial Times Limited does not accept any liability for the accuracy or quality of the translation.』

トヨタに見るウィルス攻撃の脅威

北の国から猫と二人で想う事 livedoor版:トヨタに見るウィルス攻撃の脅威
view-source:https://nappi11.livedoor.blog/archives/5349224.html

『2022年6月17日:ロシア侵攻後の2022年2月27日、トヨタ関連6万社のうち、1社のセキュリティーが破られた。
FireShot Webpage Screensho現場は、愛知県豊田市の自動車部品メーカー「小島プレス工業」本社。約500台あるサーバーを調べたところ、ウイルスは給与支払いなどの総務部門だけではなく、部品の生産に関わる受発注システムにまで侵入していた。「このままだと、トヨタの全工場が止まってしまう」。幹部は息をのんだ。

従業員約1650人の小島プレスは、トヨタ創業時からの取引先。サプライチェーン(供給網)を担う重要な企業だ。製造する運転席周りの樹脂部品は、トヨタ車に欠かせない。トヨタの生産ラインは、翌日まではストック部品で動かすことができる。しかし、その後も小島プレスのシステムが復旧せず、部品供給が途絶えれば、トヨタの工場も稼働停止に陥る。トヨタは100人態勢で支援に乗り出した。

img_793f10173febc828d239b4f12c1faf0c26259malware_02事件は、身代金要求型コンピューターウィルス・ランサムウェア(Ransomware:マルウェアMalwareの一種)の侵入で、 ロシア系の疑いのあるハッカー集団「ロビンフッドRobinHood」によるものだった。左は、過去のサイバー攻撃でランサムウエアに感染したコンピューターに表示されたハッカー集団「ロビンフッド」の脅迫文。参考:マルウェアとは?ウイルスとの違いや感染時の症状

受発注システムを仮復旧させるメドもついた。だが、幹部は不安をぬぐえなかった。知られていないウイルスで挙動が不明だったからだ。「システムを再起動させた場合、感染が再び広がるかもしれない。影響はもっと大きくなる」、、「賭けはできない」――。それが現場の判断だった。3月1日にはトヨタの国内全14工場が稼働停止に追い込まれた。

トヨタの工場は3月2日、稼働を再開した。その後の調査で、ウイルスの侵入口は、小島プレスの子会社の通信用機器だったことが判明。機器には、攻撃を受けやすい 脆弱(ぜいじゃく) 性があった。トヨタの供給網は6万社に上る。そのうち1社のセキュリティーが破られるだけで、全体がマヒする危うさを示した。

1765672 「脆弱性対策をしっかりお願いします」。4月下旬、トヨタが初めて直接取引先約460社を対象に実施したセキュリティー講習で、担当者はそう訴えた。トヨタは、関連会社や取引先に「日本自動車工業会」(東京)などがまとめたセキュリティー指針を渡し、順守を求めてきた。しかし、専門用語が並ぶ指針を難解と感じる担当者もおり、浸透していなかった。「、、再び狙われてもおかしくない」トヨタは今後も2か月に1回のペースで講習を実施する。直接取引先からその先へと対策を広げていく考えだ。

ランサムウェアには、攻撃者によって様々な種類があり、2021年10月に被害を受けた徳島県つるぎ町立半田病院は「ロックビット2.0」、2022年2月のパナソニックは「コンティ」、3月のデンソーは「パンドラ」と呼ばれるハッカー集団から攻撃を受け、それぞれのグループが開発したウイルスが使われた。だが、小島プレス工業を攻撃したのは、知られていないウイルスで挙動も不明。トヨタはセキュリティー専門家と入念に対応を検討する必要があると判断し、サイバー攻撃の影響としては初めてトヨタの国内全工場を停止し、約1万3000台の生産がストップしたと伝えている。参照記事 参照記事 参照記事 』

詐欺の技術、SNSで売買 中国から日本を標的か

詐欺の技術、SNSで売買 中国から日本を標的か
https://www.nikkei.com/article/DGXZQOUE051KV0V01C21A2000000/

 ※ オレのところのメールも、9割は「詐欺メール」だ…。

 ※ その中から、「本物」を拾いだして、「分類フォルダ」に「振り分け」する設定にしてある…。

 ※ そうすると、その「本物メール」が、どのフォルダに入ったのか分からなくなったりするんだよ…。

 ※ 昨日も、ある業者さんから、「メール送ったんですが?」「いや、ちょっと見当たらないですね。」というやり取りを、4回も「電話で」行った…。

 ※ 昨今は、「届け出事項」の変更なんかは、全て「オンラインで」行うような流れになっている。

 ※ 「メールのリンクを、たどってくださいね。なお、有効期間は24時間以内です。」とかおっしゃるんだが、その「メール」が探せないのでは、「お手上げ」だ…。

 ※ しかも、プロバイダーの会社自体も、「合併・分離」されるから、強制的に「アドレス」が変更されたりする…。

 ※ そうすると、その「届け出アドレス」の「変更手続き」を、強いられるのは、こっち…、と言うことになる…。

 ※ そういうことで、人生削られて行くんだよ…。

 ※ ヤレヤレだ…。

『偽サイトなどで個人情報を盗む「フィッシング詐欺」の深刻化が止まらない。2021年は確認件数が52万件と最多になり、標的となるクレジットカードの不正利用被害も過去最悪を更新した。背景に、日本人の個人情報から詐欺の技術までを手軽な金額で売買している中国語のSNS(交流サイト)がある。

「今からアカウントに侵入してみせます」。匿名性の高い対話アプリ「テレグラム」のあるチャットグループに投稿された動画をパソコンで再生すると、中国語で解説が始まった。

画面には日本のクレジットカード会社のログインページが表示され、フィッシングで盗まれたとみられる日本人大学生の名前やログインID、パスワードも映る。

投稿者は、発信元となるIPアドレスを偽装するソフトの使い方を紹介した後、大学生のアカウントに不正ログイン。「本人に利用通知が届かないように」などと説明しながら、メールアドレスや電話番号といった登録情報を瞬く間に変更した。
中国語のSNSで日本人を狙ったフィッシングの情報がやり取りされている=一部画像処理しています

最後にカードの利用上限額を勝手に引き上げたうえで、ショッピングサイトでボールペン1本(990円)を購入してみせた。

ネットバンキングの偽サイトを作る方法、不正の発覚の逃れ方――。テレグラムではこうしたフィッシングに関わるチャットが乱立している。調査するKesagataMe氏(ハンドルネーム)によると、100以上の中国語のチャットグループが確認でき「手軽に情報や盗む技術を入手できるマーケットが形成されている」。

通常、チャット内に金額の記載はない。セキュリティー事業を手がけるマクニカの協力を得てチャット管理者のひとりに聞くと、フィッシングに使うSMS(ショートメッセージサービス)を不特定多数に送る技術は「24時間あたり50元(約970円)で提供する」と中国語で回答があった。

偽サイトを作るためのソースコード(プログラム)は「1000元(約2万円)」程度とみられる。

匿名性の高い闇サイト群「ダークウェブ」などと異なり、誰でも参加できるSNSで、手軽な金額で技術や知識が手に入る。閲覧者が3万人規模のグループもあり、ターゲットの日本人のクレジットカードや銀行口座の情報が飛び交う。

国内の被害は拡大の一途だ。監視団体のフィッシング対策協議会(東京・中央)によると、21年の国内の報告件数は52万6504件と、過去最多だった20年(22万4676件)の2倍を超えた。

日本クレジット協会(同)によると、21年のクレジットカードの不正利用被害額は330億円。20年比で3割増え、調査を始めた1997年以降で最悪となった。フィッシングの深刻化が被害額を押し上げている。

なぜ日本が狙われるのか。捜査関係者は発信元などから中国を拠点とする犯罪グループが関与しているとみる。「日本は地理的に近く、盗んだ情報で不正に買い物をする場合、受け取り役も募集しやすい」という。

被害の根絶が難しい中、マクニカの鈴木一実氏は「まずは自衛策が欠かせない」と訴える。▽スマホに届いたSMSのサイトに安易にアクセスしない▽サイト運営者は不正ログインの検知精度を高める▽通信事業者はSMSの悪用を防ぐ技術や対策の導入を進める――など多方面で危機意識を共有する必要があると話す。

(柏木凌真、大倉寛人)

犯罪組織、進む分業 「受け子」リスト化し共有か

中国語のSNSでは、盗んだ情報をもとにネットで不正購入された商品を受け取り、転送する「受け子」の名前や住所もやり取りされている。

あるチャットグループには日本全国の住所リストが掲載され、受け子とみられる日本人や中国人の名前が並んでいた。ホワイトハッカーのCheena氏(ハンドルネーム)は「更新頻度が高く、日本国内に受け取り役を準備するブローカーや換金を担う業者がいる可能性が高い」と分析する。

警視庁が3月、詐欺の疑いで逮捕した中国人留学生2人は、何者かがフィッシングで購入したゲーム機などを受け取り、指示されたマンションに転送していた。調べに「中国の対話アプリ上の受け子バイトを募る広告がきっかけだった」と供述した。

犯罪グループはこうして集めた受け子をリスト化し共有しているとみられる。

こうした犯罪は指示役などグループの上位者が特定されることはほとんどない。捜査関係者は「指示役や換金役、受け子など犯罪組織は何層にも折り重なる複雑な構造で、全容解明は至難の業だ」と漏らす。犯罪の分業化が進み、捜査が追いついていない。』

ダークソウル3の「PCを乗っ取れる不具合」によりゲームサーバーが一時停止

ダークソウル3の「PCを乗っ取れる不具合」によりゲームサーバーが一時停止、新作「ELDEN RING」発売延期の可能性も – GIGAZINE
https://gigazine.net/news/20220124-dark-souls-3-exploit-remote-code-execution/

 ※ ゲームを遊んでいるだけで、PCが乗っ取られるとか、おっかねー話しだ…。

 ※ 『突然Microsoftの合成音声が話し始めたということは、何者かがThe__Grim__Sleeper氏のPCに不正にアクセスして勝手にMicrosoft PowerShellの機能を使ったことを意味します。』というようなことが、起こるんだと…。

 ※ PowerShellが勝手に使われるのは、エモテットでもあった話しだな…。

 ※ 『ダークソウル3のチート対策MODであるBlue Sentinelを使うと、この不具合に対応できるとのことです。』ということなんだが、MODを強いるんじゃ、本末転倒だろう…。

『日本のゲーム会社・フロムソフトウェアが手がける高難度アクションゲーム「Dark Souls 3(ダークソウル3)」のPC版で、システムを乗っ取ることができる不具合が発見され、同作を含む「ダークソウル」シリーズ3作のPC版のゲームサーバーが停止しました。この不具合は、2022年2月25日発売予定の「ELDEN RING」にも影響を与える可能性があると報じられています。

Dark Souls 3 players risk having their PC bricked if they play online – Dexerto
https://www.dexerto.com/gaming/dark-souls-3-players-risk-having-their-pc-bricked-if-they-play-online-1746144/

Dark Souls 3 exploit could let hackers take control of your entire computer – The Verge
https://www.theverge.com/2022/1/22/22896785/dark-souls-3-remote-execution-exploit-rce-exploit-online-hack

Dark Souls Servers Down Due To Exploit That Could Give Someone Control Of Your PC
https://kotaku.com/dark-souls-servers-down-due-to-exploit-that-could-give-1848407285

PC版ダークソウル3で発見された今回の問題は、ゲーム実況配信者のThe__Grim__Sleeper氏が2022年1月22日にTwitchで同作のプレイ動画を配信中に発生。ゲームソフトが突然終了してしまっただけでなく、Microsoftの音声合成ジェネレーターが突然勝手に話し始め、The__Grim__Sleeper氏のプレイを批判しました。その様子は、配信が始まってから1時間20分20秒が経過したあたりを再生すると見ることができます。

突然Microsoftの合成音声が話し始めたということは、何者かがThe__Grim__Sleeper氏のPCに不正にアクセスして勝手にMicrosoft PowerShellの機能を使ったことを意味します。この問題の発生からすぐに、オンライン掲示板のRedditに「ダークソウル3の侵入者がPC上で勝手にコードを実行する『リモートコード実行(RCE)』が可能になりました。ELDEN RINGでも同じことができます」とのスレッドが立ち上げられました。また、ダークソウル3の海外でのパブリッシャーであるバンダイナムコエンターテインメントの公式アカウントは投稿者に対して「本日、社内の関連チームにこの件に関する報告書を提出しました。情報をご提供いただき、ありがとうございます」と謝辞を述べました。

TwitterユーザーのSkeleMann氏は、PC版ダークソウル3で発生したこの問題について、「PCに永続的な損害を与える可能性のある、深刻な脆弱(ぜいじゃく)性です。これを悪用すると、PCが故障したり、ログイン情報を盗まれたり、バックグラウンドで任意のプログラムを実行されたりする可能性があります。いわば、トロイの木馬のようなものです」と説明し、ダークソウル3をオンライン接続でプレイするのを避けるよう呼びかけました。同氏によると、ダークソウル3のチート対策MODであるBlue Sentinelを使うと、この不具合に対応できるとのことです。

like a Trojan Horse. And more nasty stuff.

It's highly suggested to NOT PLAY ONLINE DARK SOULS 3 in it's current state. Avoid any online activity from Ds3.

In addition, if you haven't already everybody and their mother can recommend the Blue Sentinel modhttps://t.co/lposZRzbr1
— SkeleMann (@SkeleMann) 

The__Grim__Sleeper氏の配信を乗っ取った何者かは、悪意あるハッカーではない可能性が高いとされています。ダークソウルシリーズのRTAに関する記録や情報をまとめた攻略サイト・SpeedSoulsに投稿された情報によると、この問題を特定したハッカーはフロムソフトウェアに連絡を取ろうとしましたが無視されたため、注意を引くために人気のゲーム配信を乗っ取ったとみられているとのこと。

フロムソフトウェアは今回の問題を受けて、PC版ダークソウルシリーズ3作について「セキュリティの脆弱性を調査するため、当面の間ゲームサーバーを停止させていただきます」と発表しました。

ゲーム系ニュースサイト・Kotakuは、この問題について「ELDEN RINGで使われている技術は、フロムソフトウェアの他のタイトルと似ているため、ELDEN RINGにも同様の不具合が含まれているとの懸念があります。新作の発売を目前に控えた今、ELDEN RINGのリリース前にこの問題が修正されることが望まれています」と述べました。

また、Dexertoは「ダークソウル3とELDEN RINGの修正版が登場することを期待しています。多くの人は、『2022年最大の期待作のひとつが、ハッカーにバックドアを与えてプレイヤーのPCを操作させたり破壊させたりする危険性をもたらすぐらいなら、修正のために発売が延期されたほうがいい』と考えるはずです」とコメントしました。』

中国軍指示でソフト不正購入か、元留学生に逮捕状

中国軍指示でソフト不正購入か、元留学生に逮捕状 すでに出国、国際手配へ
(2021/12/28 08:43)
https://www.sankei.com/article/20211228-AODGVXZATZJZHCMNC44N43EB3I/

『中国人民解放軍の関係者の指示で、日本製セキュリティーソフトを不正購入しようとしたとして、警視庁公安部は詐欺未遂容疑で中国籍の30代の元留学生の男の逮捕状を取ったことが、28日、捜査関係者への取材で分かった。男はすでに帰国しており、警視庁は国際手配をする方針。警視庁は中国がサイバー攻撃をしかけるにあたり、日本製ソフトの脆弱(ぜいじゃく)性を把握しようとしたとみて調べている。

捜査関係者によると、男は平成28年、架空の日本企業名を使うなどして日本製セキュリティーソフトを不正に購入しようとした疑いが持たれている。販売元は法人登記の確認ができないことなどから販売しなかった。

28~29年に宇宙航空研究開発機構(JAXA)など国内約200の航空・防衛関連組織や大学などが狙われた大規模なサイバー攻撃があり、警視庁は今年4月、私電磁的記録不正作出・同供用の疑いで、中国籍の30代の男を書類送検した。

一連の被害は手口から、中国人民解放軍のサイバー攻撃専門部隊「61419部隊」の指揮下にある「Tick」と呼ばれるハッカー集団が関与したとみられる。今回の事件では、元留学生の男は61419部隊の関係者から指示を受けていたとみられる。』

〔こういうメール来た…。〕

 ※ これで、2回目だ…。

 ※ クワバラ、クワバラ…。

 ※ ヒトの「弱った心理」につけ込む輩が、ウジャウジャいるんで、気を付けよう…。


 ※ まあ、第一、オレはLINEをやらないんで、ⅠDとかにもアクセスできんのよ…。

『タイトル:在宅勤務に適したアルバイトですc

こんにちは、 新型コロナのせいでお金を使い果たしましたか?暇な時間にお金を稼ぎたいですか?携帯一つと仕事に対して真剣に取り組む姿勢が必要です。毎日2万円から4万円ぐらい稼げます。LINE ID:a58※※※※』

 ※ メールの発信元、調べると、あの某国だ…。

 ※ まあ、「注意:発信元の情報は正しくないことがあります。また、迷惑メール類では偽装されていることがあります。参考程度に見てください。」という程度の調査なんだが…。

マカフィー創業者が死亡

マカフィー創業者が死亡 スペイン拘置所で自殺か
https://www.nikkei.com/article/DGXZQOGN2403R0U1A620C2000000/

『【ニューヨーク=野村優子】米サイバー対策大手マカフィー創業者のジョン・マカフィー被告(75)が23日、スペインの拘置所で死亡しているのが見つかった。スペイン紙エル・ムンドなどが報じた。自殺とみられている。同被告は米国で脱税の罪で起訴されており、スペインの裁判所は同日朝、米国への身柄引き渡しを承認していた。

ロイター通信は同被告の弁護士の話として、独房で首をつって自殺したと報じている。マカフィー被告は米当局に脱税の疑いで国際指名手配され、昨年10月にバルセロナの空港からイスタンブールに向かう便に乗ろうとしていたところを拘束された。所得を第三者名義の暗号資産(仮想通貨)として隠し、納税を免れたといった疑いがあった。

同被告はマカフィーでの成功の後、仮想通貨の宣伝、コンサルタント業務などで稼いでいたという。2016年、米大統領選に出馬すると表明して注目を集めたこともある。』

「ゼロトラスト」ということ…。

米グーグルはテレワークでVPNを使わない、なぜなら「あれ」が危険だから
https://xtech.nikkei.com/atcl/nxt/column/18/00692/031000023/

※ コロナのお陰もあって、テレワークやリモート・ワークが進行していくと、もはや「境界防御」という考え方が、成立しなくなった…。

※ これまでは、「安全な接続体制」を「一元的」「中央管理的」に構築しておいて、そこの「境界で」不正な接続を防御する…、という思想だった…。

※ VPNも、その思想の延長線上にあり、「安全な接続体制の内部」に進入することを、「許可する」ための仕組みだった、と評価できる…。

※ しかし、それではもはや、間に合わなくなった…。というのは、「端末」自体もワーカーが「買い換える」ということや、「複数台保有する」ということが普通の状況になった…。また、接続して来る「場所」も、常に「自宅」からとは、限らない…。近所の「カフェ」かもしれないし、自宅の近所に借りた「ワーク・スペース」かもしれない…。そういう多種・多様な「接続形態」に対応することが、迫られるようになった…。

※ さらには、Emotet(エモテット)みたいな「マルウェア・プラットフォーム」と呼ぶべき「攻撃形態」も出現し、一旦「信頼できる接続」として「内部への進入を許した」が最後、「情報を根こそぎ持っていかれる」というようなものも出現した…。もはや、「内部からの接続」自体、「信頼できるもの」じゃ無い可能性があるんだ…。

※ そこで、発想を転換して、「全ては、信頼できないネットワーク、アクセスである、という前提で」、セキュリティ対策を考えるようになった…。それが、「ゼロトラスト」というものらしい…。

※ 実際には、「認証の発行の山」と、「認証サーバ」の設置で実行するようだ…。「認証ID」は、一回発行したら、ずっとそのまま…、というわけにいかない…。定期的に、その都度「認証ID」を発行し、「認証サーバ」と連携させて、一回一回、認証して行くわけだな…。

※ 実際、ネットバンキングなんか使うと、その都度端末に(オレは、まだガラケー…)、「ワンタイムパスワード」なるものが送信されて来る…。そういうものを、入力したりして「認証」するわけだな…。いわゆる、「二段階認証」というものか…。

『新型コロナウイルス対策として様々な企業で在宅勤務が推奨される中、VPNに関する発言を耳にする機会が増えた。「大勢が使い始めたので速度が落ちた」「社内からの利用申請が急増した」といった恨み言が中心だが、興味深いものもあった。なんでも「グーグルはテレワークにVPNを使っていない」のだという。』『米グーグルは従業員が在宅勤務をする際にVPNを一切使っていない。インターネット経由で利用できるSaaS(ソフトウエア・アズ・ア・サービス)の「GSuite」などで業務が完結するから、といった単純な話ではない。開発システムや経理システムといったあらゆる種類の社内アプリケーションが全てインターネット経由で利用できるようになっているため、従業員はそもそもVPNを利用する必要がないのだという。』

※ 警告により、Xtechの記事の転載を削除しました。

※  Xtech 、ちょっとやりすぎなんじゃないか?

※ 修正するの、大変だ…。おまけに、WordPress.comのエディターが、投稿時は、classicタイプとかで、古いもののようで、操作のやり方なんか、とっくに忘れてしまっていた…。

※ いやいや、難儀した…。

※ ほぼ、別記事に差し替えた…。

VPNは危ない? テレワーク時代に急浮上、新しいセキュリティの考え方「ゼロトラスト」って何だ? https://www.itmedia.co.jp/business/articles/2008/10/news007.html 

『テレワークで顕在化した、境界防御の限界 これまでのセキュリティ対策は、ITの世界を、信頼できる「内部」と、脅威がうようよしていて危険な「外部」とに分け、外側から侵入を試みる不正アクセスやマルウェア、悪意あるメールなどを、境界で検知してブロックするという境界防御の考え方に立脚してきた。

 パソコンやサーバ、業務アプリケーションがLAN内にあり、ゲートウェイを介してインターネットにアクセスすることが前提──といった、インターネット普及期から2000年代後半までのITシステムならば、それがコストパフォーマンスもいいし、セキュリティポリシーやガバナンスを適用させる一番いい方法だった。そして、どうしてもリモートからアクセスする必要がある場合にはVPNという技術を使って、自宅やリモート拠点などを実質的に「内部」と化すことで、同様のセキュリティを担保してきた。

 しかし、クラウドサービスやモバイルデバイスの普及といったここ十年の環境の変化が、境界型セキュリティの限界を徐々に明らかにさせてきた。

 従業員はもはや社内オフィスにいるとは限らない。重要なデータやアプリケーションも、オンプレミス環境に残っているものももちろんあるが、SaaS、IaaSなどさまざまな形でクラウドへの移行を進める企業が増えている。

 こうして境界があいまいになるにつれ、この数年、多くの人がこれまでのセキュリティ対策の在り方、境界型セキュリティの限界をうっすらと感じてきたのではないだろうか。その問題がいよいよ、新型コロナ対策として広がったテレワークにより多くの従業員が境界の外から業務をするようになって、とうとう顕在化したといえる。

 これまでのアーキテクチャでテレワークをする場合、従業員からの通信はVPNを利用していったん内部に集約される。しかし働き方改革の一環とか、管理者のメンテナンスという観点でごく一部が利用するのとは異なり、数百人、数千人という桁違いの利用者がVPNを利用した結果、帯域や機器の負荷が増大してパフォーマンスが低下し、「これでは使えない」と文句が出たり、時間を区切ってローテーションで利用したりするケースもあるという。

 特に顕著な影響が出ているのは、いったん企業のVPNゲートウェイを経由してクラウドサービスを利用する場合だろう。自宅からダイレクトにクラウドサービスを利用する場合に比べ、データセンターへの行ったり来たりが増えて帯域もセッション数も消費し、ボトルネックとなっている。

 既存の対策の限界をあぶり出した要因はもう1つある。サイバー攻撃の高度化だ。攻撃者は、被害者をだましてメールの添付ファイルやWebサイトをクリックさせたり、RDP(Remote Desktop Protocol)やVPNといったリモートアクセス環境で“弱いパスワード”が設定されているアカウントを乗っ取ったり、脆弱性を悪用したりと、さまざまな手段で信頼されている内部に侵入する。

 こうして一度内部に忍び込んで足掛かりを築いてしまえば、後は攻撃者のやりたい放題だ。信頼されているのだから、共有ファイルサーバやディレクトリサーバへのアクセスも可能になるが、境界型防御では、入り込まれた後のこうした振る舞いには手が出ない。

 このように、IT環境の変化とサイバー攻撃の高度化という2つの理由で徐々に明らかになっていた境界型セキュリティの限界が、新型コロナウイルスの到来に伴い、半ば強制的に突きつけられた状態だ。そして、これに代わるアプローチとして浮上している考え方がゼロトラストセキュリティだ。』
『内側も外側と等しく「常に信頼しない」
 ゼロトラストセキュリティとは、米国の調査会社フォレスター・リサーチのアナリストが提唱した考え方だ。内部に潜む脅威を前提に、またクラウドやモバイルなど外部にあるリソースの活用を念頭に置き「あらゆるものを信頼できない」という前提で、常に確認しながら扱おうという姿勢だ。

 ゼロトラストの考え方では、社員であろうと、一度認証を済ませたデバイスであろうと、内部ネットワークにあるリソースであろうと無条件では信頼しない。IDベースで認証を行い、機器のセキュリティ状態のチェックなどを継続的に行って常に状況を確認し、適切かつ必要最小限のリソースへのアクセスのみを許可するというアプローチだ。

  また、一度信頼できると判断した相手でも、5分後には信頼できない状態になっているかもしれない、という前提に立ち、継続的にチェックを行うこともゼロトラストのポイントだ。いつ、何が行われたかのログを収集して振る舞いや疑わしい動きなどを確認し、必要なアップデートなどが適用されているかもチェックする。

 ゼロトラストセキュリティを構成する要素を具体的に挙げてみると、

認証、認可、アクセス制御の仕組み
(境界に設置していた多層防御を補う)エンドポイントセキュリティの強化と検知・対処の仕組み
(境界に設置していたネットワークセキュリティを補う)クラウドベースのプロキシ、ファイアウォールなど
これらのログを統合管理する仕組み
 ──などが挙げられる。すでに何らかの形で導入済みの機能もあるだろうが、ゼロトラストセキュリティのポイントは、こうした機能をクラウド基盤で提供することで、オンプレミス環境では実現が難しかった拡張性、可用性を備えた形で、内と外との区別なくセキュリティ対策を実現することだ。

Googleの「BeyondCorp リモート アクセス」の例。ゼロトラストの考えに基づいたもので、VPNを使わなくても社内向けアプリにアクセスできる=Google Cloudのブログより
 考えてみれば、これまでの境界型セキュリティは、外部に対するゼロトラストを前提に、外部からのリクエストやアクセス、リソースは「信頼できないもの」として扱い、相手を確認(認証)したり、内容をチェックしたりしていた。ゼロトラストセキュリティではこれらを内部にも広げ、相手が何であろうと誰であろうと、同等のチェックを行うものといえるだろう。LANや企業内ネットワークという考え方を先にするのではなく、クラウドやインターネットという概念を第一に考えると、自ずとこうした考え方に行き着くのかもしれない。

 こうした合理的な考え方に基づき、海外ではGoogleやMicrosoftといったIT大手がゼロトラストセキュリティのアプローチを採用し、従業員が社内にいようと社外にいようと、またどんなデバイスを使っていても、セキュリティを担保する仕組みに移行してきた。この流れは日本国内でも徐々に広がっており、LIXILなどが“脱VPN”を進めている。

 ただ、ゼロトラストのアプローチを検討するには、いくつか留意すべきポイントがあるように思う。

まずは、ITアーキテクチャの整理やクラウド移行、テレワーク導入といったITの全体像を見据えながら検討することだ。「これからはゼロトラストだ」と張り切ってポイントソリューションを導入しても、境界型防御との整合性がとれなかったり、対策が抜け落ちた範囲が生じたりと、ちぐはぐな状態になる恐れがある。そうすると、これまでのセキュリティの歴史を繰り返すかのように、単なるバズワードで終わってしまうかもしれない。全体像を把握し、「このアクセスはどうやって保護するのか」「このユーザーはどういう状態にあるのか」を検討することが重要だ。

 また、何か1つソリューションを導入したらゼロトラストが実現できるかというと、そういうわけではない。これもセキュリティ製品の歴史でたびたび繰り返されてきたことだが、「これを買えばゼロトラスト」という宣伝があれば、むしろ疑いの目で見たほうがいい。

 もう1つ、文化や考え方を変えるには時間がかかる。境界型セキュリティは、戸口をしっかり閉めて泥棒が入り込まないようにするという、人間にとって直感的に分かりやすいイメージで捉えることができた。これに対し、ゼロトラストの考え方はちょっと抽象的だ。場所を問わないという意味で、自社の文化や働き方、労務規定などともすりあわせながら進めていく必要がある。

 予算や運用といった現実を考えても、段階を踏んで、できるところからゼロトラストを導入していくことがベターだろう。ただ、そうした移行期間こそ、捨て去るつもりで無防備な状態になった資産が実は生きていたり、境界防御で守る領域とゼロトラストベースで守る領域とでセキュリティギャップが生まれたり、試験的に動かし始めた環境が思った以上に多くのリソースにアクセスできる状態になっていたり──と、攻撃者にとっては狙い目になる恐れもある。あれもこれもとさまざまなタスクがある中では大変なのは重々承知だが、だからこそ常に慎重に、確認しながら取り組むのがいいだろう。』

グーグル、VPNを使わないゼロトラスト製品「BeyondCorp Enterprise」を販売
プロキシに加えてWebブラウザ「Chrome」に脅威対策を内蔵
https://it.impress.co.jp/articles/-/20992

〔エモテットの話し、再び…。〕

※ 再度、エモテットの話しを「おさらい」する…。

※ 全体像は、こんな感じ…。

※ ちょっと、分かりにくいので、部分を少しくわしく検討する…。

※ まず、発端は「メール」で送られてくる「wordのファイル」だ…。

※ 添付ファイルがあって、それを「クリック」して「開く」と、「マクロ」が実行される…。それが、「侵入」の始まりだ…。

※ だから、wordの添付ファイルは、「絶対、開いちゃ、ダメ!」だ…。

※ エモテットが活動を開始して、まずやることは「解析環境(マルウエア対策で、常時、システムやネットワークを解析している環境が、整っている)」にあるかどうかを、チェックすることだ…。

※ そのチェックも、「エモテット自身」がやるのでは無く、「C&Cサーバ」サイドで実行する…。

※ そして、「解析環境に無い」と判定した場合にだけ、活動して、「レジストリの書き換え・書き込み」を実行する…。

※ そして、このマルウエアの「巧妙なところ」は、盗んだデータを送信したり、いろいろ「悪さ」を実行する「モジュール」が、「システム・サイド」にファイルとして残らない・残さないように「設計」されている点だ…。

※ 「ファイル」では無く、「メモリ」に直接ロードされるように「設計」されているらしい…。

※ そして、「Outlook」がインストールされている場合は、Outlook自身に用意されている.exeを使用して、どんどん「メール関係のデータ」を収集して、C&Cサーバに送信する…。

※ しかもだ、その「Outlook自身に用意されている.exe」も、「中身がくり抜かれていて、ファイル名としては「正規」のものだが、実体は別物」という感じのものになっているそうだ…。

※ そういう「ヤレヤレ」な「マルウエア」で、世界中で「猛威を振るった」…。

※ それで、今般、ともかくも、その「C&Cサーバ」にアクセスしていた「実行犯」(の一部)のアジトを急襲して、とっ捕まえた…、というような話しだ…。

「エモテット」ネットワークを制圧 国際的合同捜査で

https://www3.nhk.or.jp/news/html/20210129/k10012838301000.html

※ これが、かの「C&Cサーバ」の実相か…。意外と、ショボいな…。

※ ああ、そうか…。「サーバ」自体は、「レンタルサーバ」で、どっかの「クラウド上」に置いてあるわけか…。

※ こいつは、そこに「アクセス」したり、ごく「軽い」仕事用なわけだな…。それにしても、ショボいな…。

※ いかにもな「システム」だ…。いずれ、そう大層なものじゃ無い…。

※ 押収された、HDDの山だ…。ぶっこ抜いた「違法データ」がタンマリ…、というわけか…。

※ これは、何だろう…。ちょっと、分からんな…。

※ これは、凄い…。大量の「金の延べ棒」だ…。

『世界中で猛威を振るっていたコンピューターウイルス、「エモテット」について、ユーロポール=ヨーロッパ刑事警察機構は国際的な合同捜査の結果、ウイルスのネットワークを制圧したと発表しました。

ユーロポールは27日、オランダやアメリカ、ウクライナなど8か国の治安当局などとの合同捜査の結果、コンピューターウイルス「エモテット」を拡散させるネットワークの情報基盤に侵入して制圧し、内部から停止させたと発表しました。

「エモテット」は添付ファイルなどを通して感染するウイルスで、一度感染すると個人情報が流出するだけでなく、他のウイルスの侵入も招くのが特徴で、日本など各国で被害が報告され、世界で最も危険なコンピューターウイルスとも言われています。

発表によりますと「エモテット」は世界中にある数百台のサーバーを経由する広範なネットワークによって拡散されていたということですが、今回、ネットワークの情報基盤自体を制圧したことで、「エモテット」によるサイバー犯罪は収束に向かうとみられています。

また合同捜査に参加したウクライナ警察はハッカー集団を支援していたとしてウクライナ人2人を拘束したと発表しました。

ウクライナ警察によりますと、「エモテット」によって欧米の金融機関などにこれまでにおよそ25億ドル、日本円にして2600億円余りに上る被害が出ていたということです。

ウクライナ警察 ハッカー集団の拠点を捜索

ウクライナの警察当局は、東部の町ハリコフで「エモテット」を拡散させていたとみられるハッカー集団の拠点の一つを26日、家宅捜索し、その映像を公開しました。

映像では捜査員らが集合住宅のドアを破って部屋に入り、中にいた男たちから事情を聴くとともに、複数のパソコンやハードディスクなどを押収しました。

また大量の紙幣や金塊も見つかり、ハッカー集団が潤沢な資金を得ていたことがうかがえます。

ウクライナ警察はこれまでに、ハッカー集団を支援していたとして2人のウクライナ人を拘束したほか、ハッカー集団のメンバーを特定し、捜査を続けているとしています。

ウクライナ警察によりますと、「エモテット」が欧米の金融機関などに与えた被害の総額は25億ドル、日本円にして2600億円余りに上り、犯行に加わったハッカー集団のメンバーには最高で12年の懲役刑が科されるということです。

世界中で猛威 200超の国と地域で感染確認

「Emotet(エモテット)」はおととしから本格的な流行が始まったコンピューターウイルスで、これまでに200を超える国と地域で感染が確認されるなど世界中で猛威を振るっていました。

エモテットは送られてきたメールの添付ファイルを開くなどして端末が感染すると連絡先やメールの内容が盗み取られ、知り合いや取引先などと過去に実際にやり取りした文書を引用して、さらに偽のメールを広げます。

また感染すると別のウイルスをダウンロードする機能もあり、クレジットカードの情報などを盗まれるおそれもあります。

調査を行った大手IT企業の「シスコシステムズ」によりますと、「エモテット」はおととしから世界中で本格的に流行し、多いときではウイルスを感染させるメールがひと月に数十万通拡散され、感染した端末が確認された国と地域はこれまでに200を超えているということです。

偽のメールの件名は「invoice(請求書)」が最も多く見られたということですが、日本語の「会議開催通知」もかなり多く見られ、日本も主な標的の一つになっていたと見られます。

情報セキュリティー会社の「トレンドマイクロ」によりますと、日本では去年9月に最も感染が広がり、9月の1か月間で「エモテット」を感染させるメールが届いた国内の端末の数は4万6012件と前の月の8倍になり、その後も減少傾向になっていたものの、感染の被害はことしにかけても続いていました。

今回の摘発によって「エモテット」については活動が収束すると見られますが、同様に巧妙な手口でメールを利用する新たなウイルスが今後も現れるおそれがあり、摘発したユーロポール=ヨーロッパ刑事警察機構はメールの添付ファイルの開封は特に気を使うよう呼びかけています。』

Emotet(エモテット)の話し(その2)

※ Emotet(エモテット)の話し、途中になっていたな…。

※ コロナ騒ぎで、それどころじゃなくなったな…。あの時、画像も大分キャプチャしたはずだったが、もはやどこに行ったのか、見つけられなかった…。

※ それで、新たに検索かけて、別記事からキャプチャした…。

流行マルウェア「EMOTET」の内部構造を紐解く
2018.12.25
コンサルティングサービス事業本部
サイバーインテリジェンスグループ
吉川 孝志、菅原 圭
https://www.mbsd.jp/blog/20181225_2.html

吉川孝志の他のブログ記事を読む
https://www.mbsd.jp/blog/yoshikawa_index.html

菅原 圭の他のブログ記事を読む
https://www.mbsd.jp/blog/sugawara_index.html

Emotetの猛威再び…。

Emotetの猛威再び、攻撃メールを見破るポイントは差出人や署名にあり
https://xtech.nikkei.com/atcl/nxt/column/18/00001/04576/

※ ともかく、「無闇に、安易にクリックするな!」これに尽きる…。

※ 「添付ファイルは、まず開くな!」

※ 「一拍、呼吸を置いて、よく考えよう。」

『2019年秋に大きな被害をもたらしたマルウエア「Emotet(エモテット)」が再び猛威を振るい始めた。セキュリティー組織やセキュリティーベンダーは相次いで注意を呼びかけている。Emotetは「進化」を続け、今では差出人の詐称や添付ファイルの暗号化などの危険な仕掛けを幾つも備えている。

関連記事:Emotetが「感染爆発」の兆し、トレンドマイクロかたる悪質な引っかけの手口
 最新のEmotetによるサイバー攻撃の特徴は何か、どうすれば被害を防げるのか――。トレンドマイクロは2020年9月9日、サイバー攻撃の脅威動向「2020年上半期セキュリティラウンドアップ」について説明会を開いた。そこからEmotetの最新動向が分かった。

バックドアへの「アクセス権」が売られる
 「企業ネットワークへのアクセス権を販売する動きが見られる」。同社の岡本勝之セキュリティエバンジェリストは2020年上半期のサイバー犯罪の動向をこう説明する。攻撃者は何らかの方法で企業ネットワークに侵入してバックドアを構築し、そのバックドアを使う「権利」を販売したりレンタルしたりしているという。

 「既に英国企業のネットワークにアクセスする権利が販売された事例がある」(岡本セキュリティエバンジェリスト)。同社はバックドアの販売/レンタルを「アクセス・アズ・ア・サービス(AaaS)」と名付けた。

ネットワークへのアクセス権を販売する書き込み例
(出所:トレンドマイクロ)
[画像のクリックで拡大表示]
 岡本セキュリティエバンジェリストは「AaaSとEmotetは関係がある」と話す。攻撃者は、不特定多数に向けて同じ文面のなりすましメールを送り、マルウエアに感染させたりフィッシングサイトに誘導したりする「ばらまき型メール」でEmotetを拡散させている。メール受信者が誤って添付ファイルを実行するなどでEmotetに感染するとパソコンに保存されたメール内容やメールアドレスを盗まれ、その情報はネット上の指令サーバー(C&Cサーバー)に送られる。

 最近のEmotetを使った攻撃では、情報を盗むだけでなく他のマルウエアやトロイの木馬ウイルスに感染させて企業のネットワークにバックドアを構築するケースがある。「他の犯罪者が侵入するという危険性がある」と岡本セキュリティエバンジェリストは警鐘を鳴らす。Emotetの感染を検知できなければ、Emotetを仕掛けた攻撃者だけでなくAaaSでアクセス権を購入した別の攻撃者にも不正アクセスを許してしまうというわけだ。

 トレンドマイクロの調査によれば、Emotetを使った攻撃はたびたび活動を休止する傾向がある。2019年10月から攻撃が活発になったEmotetは2020年になっても猛威を振るった。2020年も新型コロナウイルスの感染拡大に便乗した攻撃が増えると思われたが、実際は2月上旬から7月中旬にかけてC&Cサーバーが休止したという。

日本におけるEmotetの検出数の推移
(出所:トレンドマイクロ)
[画像のクリックで拡大表示]
 しかし2020年8月に活動を再開。「日本国内では8月からEmotetの検出数が急増している」(岡本セキュリティエバンジェリスト)と注意を促す。

差出人に「さん」がつく
 攻撃者はEmotetに感染したメール受信者から不正にアドレス帳やメールアドレス、メールの内容などを盗み取る。盗んだ情報を基に別の感染者から攻撃メールを送信する際、メールの文面などをそのままコピーするため、サイバー攻撃を受けていると見抜くのがかなり難しい。「トレンドマイクロのアンケートをそのまま利用したメールもあった」(同)という。人の隙につけいる悪知恵にたけている。

 ただし盗んだアドレス帳の表記をそのまま使うため、差出人や署名がおかしな攻撃メールが散見されるという。例えば同社が観測した攻撃メールでは差出人や署名が「営業部 大久保さん」となっていた。明らかにおかしい。

 これはEmotetに感染した人がアドレス帳に「営業部 大久保さん」と登録し、それを盗んだ攻撃者がそのまま流用したためと思われる。機械的に攻撃メールを作成するため、そこまで気が回らなかったのであろう。岡本セキュリティエバンジェリストは「差出人や署名に違和感を覚えるメールを受け取ったらEmotet攻撃と疑ったほうがよい」とする。

差出人や署名がおかしなメールの例
(出所:トレンドマイクロ)
[画像のクリックで拡大表示]
 防ぐ手立てについて岡本セキュリティエバンジェリストは「マクロを有効にしないこと」と強調する。Emotetは攻撃メールに添付されたMicrosoft Officeファイルを開き、マクロを実行してしまうと感染するからだ。マクロを実行しなければ感染はしない。情報システム部門やセキュリティー部門は従業員に安易に添付ファイルを開かないことやマクロを有効にしないことを改めて周知徹底したい。』

米大統領選、中ロが大規模サイバー攻撃 Microsoftが警告

https://www.nikkei.com/article/DGXMZO63717130R10C20A9000000/

『【シリコンバレー=佐藤浩実】11月の米大統領選が迫るなか、ロシアなど外国勢力によるサイバー攻撃の懸念が強まっている。米マイクロソフトが10日に公表した報告書によると、ロシアのハッカー集団は過去2週間で政党や支援団体など28の組織に攻撃を試みた。中国やイランからの攻撃も続いており、同社は多要素認証などでの防御を呼びかけている。

国家の関与が疑われるサイバー攻撃の動向を調べた。ロシアのハッカー集団「ストロンチウム」は2019年9月~20年6月にかけて200以上の組織を攻撃。8月18日~9月3日の2週間では28組織に属する6912アカウントのハッキングを試みた。「攻撃はいずれも成功していない」(マイクロソフト)という。

【関連記事】
米、大統領選干渉でウクライナ議員に制裁 ロシアの手先

ストロンチウムは選挙関係者のアカウント情報を得るため、考えられるパスワードを総当たりで試す「ブルートフォース攻撃」と、複数のアカウントに対して同時に1つのパスワードを試す「パスワードスプレー攻撃」をしかけた。16年の大統領選では特定の標的から情報を奪う「スピアフィッシング」が主流だったが、攻撃はより大規模化している。

中国のハッカー集団「ジルコニウム」も大統領選に関わる情報を手に入れようと攻撃を続けている。3~9月に検知した攻撃は数千件に上り、150件近い情報漏洩が発生した。失敗に終わったものの、民主党のバイデン前副大統領の関係者を対象にした攻撃もあったという。イランの「フォスフォラス」は5~6月にかけてトランプ大統領の選挙活動に関わるスタッフのアカウントへの侵入を試みた。

選挙のような国家の動向を左右する大型イベントでは、サイバー攻撃が活発化しやすい。マイクロソフトはパスワードと生体認証などを組み合わせる「多要素認証」を徹底するなどして、攻撃を回避するよう呼びかけている。同社はセキュリティー関連の事業を手掛けており、サイバー攻撃についても不定期で報告書を出している。』

ランサムウエア、狙われた病院 システム停止で身代金要求

 ※ ヒデー話しだな…。病院だったら「ファイル」が使用できなきゃ、人命にかかわってくる…。こうなると、「財産的な損害」だけの話しじゃなくなってくる…。

 ヤレヤレな世の中に、なって来たもんだ…。

 ともかく、「ハッキング」「クラッキング」の構図が、「大がかり」で、「根こそぎ浚って(さらって)行く」ものへと、変貌している感じだ…。

 その始まり、端緒は、「標的メール」から…、ということが多い…。

 しかし、「クリックさせる手口」も、日々巧妙化して行っている感じだ(オレも、この間やられたしな…)…。

 ともかく、「クリック」する前に、「一旦、踏みとどまって、考える。」癖を、つけんとな…。

『医療関連の組織がサイバー攻撃の標的となっている。新型コロナウイルス流行後も海外では病院のデータを凍結して「身代金」を要求する攻撃が起き、ワクチンなどの研究情報を狙う動きが表面化した。セキュリティー意識の遅れが指摘される国内の医療機関にとっても対岸の火事ではない。

チェコ第2の都市ブルノにある大学病院は3月13日朝、混乱に陥った。パソコンの画面に脅迫文が表示され、院内のシステムが使用不能になった。内部データを暗号化し、解除のための金銭を要求する「ランサムウエア」による攻撃だった。

新型コロナの検査も担う同国の中核病院の一つだが、一時は手術の延期や急患の受け入れ停止を余儀なくされたという。システムの完全復旧には数週間を要した。

攻撃を解析したセキュリティー会社アバストのヤクブ・クロウステク氏によると、使われたランサムウエアは「Defray」(デフレイ)。2017年には欧米の医療・教育機関への攻撃キャンペーンで使用された。

セキュリティー会社セキュアワークスによると、デフレイを使うグループはウイルスを仕込んだメールを送りつけるなどして内部システムに侵入。管理サーバーを掌握し、ネットワーク内の端末にデフレイを一斉に配信する。さらに不正アクセスを繰り返して復旧を妨害し、身代金を支払うよう追い込んでいく。

同社カウンター・スレット・ユニットの玉田清貴リサーチャーは「技術力の必要なツールを複数駆使し、攻撃レベルは高い」と語る。医療機関のシステム停止は人命に関わる。「復旧を優先して支払いに応じる確率が高いとみて標的にされる」

6月には、新型コロナの検査などに関わる米カリフォルニア大サンフランシスコ校の医学部で、別のランサムウエア「NetWalker(ネットウォーカー)」による被害が判明。同校は「苦渋の決断」として、データ回復のため約114万ドル(約1億2千万円)を攻撃者側に支払うと表明した。

同じランサムウエアは3月にスペインの病院への攻撃にも使われたとされる。セキュリティー会社米マカフィーは、ネットウォーカーを使う攻撃者側への暗号資産(仮想通貨)ビットコインの送金を追跡。3~7月だけで複数の組織から計2500万ドル(約26億5千万円)の身代金を脅し取ったとみている。

新型コロナのワクチン開発や臨床試験に取り組む研究機関や企業の情報も狙われている。

英米とカナダの当局は7月、「APT29」と呼ばれるロシアのハッカー集団が20年に入り継続的に3国でワクチン開発に関わる様々な組織に攻撃を仕掛けていたとして非難する声明を出した。

APT29は情報を盗み取るマルウエア(悪意のあるプログラム)を使うとされ、同系統のマルウエアは18年に日本企業への攻撃にも使われた。当時解析したラック・サイバー救急センターの石川芳浩氏は「いつ日本の研究機関などが狙われてもおかしくはない」とみる。

国内の医療機関の多くは患者情報などを扱うシステムを外部と切り離しており「攻撃を受けにくいという前提でセキュリティー意識が十分に高まってこなかった」と医療業界の関係者は話す。

だが18年には奈良県の病院の電子カルテシステムがランサムウエアに感染し、約1千人分の情報が暗号化される被害が起きた。近年、電子カルテのクラウドサービスを導入する施設も増えている。

医療機関などで国内外のサイバー攻撃の情報を共有する団体「医療ISAC」(東京)の深津博代表理事(愛知医科大病院医療情報部長)は「業界全体でセキュリティーの議論を深めていく必要がある」と強調する。』

「アドレス帳」、ハッキングされた…ぽい…。

※ 今日は、こんなところにしておく…。

※ というのは、朝からメーリングソフトの「アドレス帳」がハッキングされ、記載していた「アドレス」が流出したらしく、その後始末に追われ、バタバタしたからだ…。

※ いきさつは、こうだ…。

※ メーリングソフトは、ジャストシステムのShurikenというものを、愛用していた…。

※ しかし、win10に変えたら、うまく動作しなくなった…。

※ それで、某有名無料メーリングソフトに乗り換えた…。

※ 最近、「更新」を促す表示が出たので、鵜呑みにして、クリックして「更新した」…。

※ そしたら、オレが使っている「ガラケー」に、標的メールらしきものが送信されて来たんだよ…。

※ そのメーリングソフトの「アドレス帳」の情報が、流出した…、としか思われない…。ケータイのメアドで、とても記憶できるシロモノじゃ無いからな…。自分のケータイに下書きを送って、仕上げる…、というようなことをやっていたので、自分へのケータイ・メアドを載せていた…。

※ 「アドレス帳」がハッキングされたとなると、そこに載っている人みんなに、「標的メール」が送信される危険性がある…。

※ それで、いきさつと「注意喚起」のメールを、記載していた皆さんに送る必要があった…。

※ 対策としては、メーリングソフトを変えて、「アドレス帳」の方は、「メモ帳」にテキスト形式で転記して、保存しといた…。

※ 現在、経過を観察中だ…。

※ Emotet(エモテット)の例にもあるように、「アドレス帳」がハッキングされると、自分だけでなく、そこに載っている人全員が迷惑する…。後始末が、大変になるんだ…。

※ イヤな世の中に、なったもんだな…。

「今こそEDR-高度化するサイバー攻撃を迎え撃つ-」

『高度化したサイバー攻撃、ファイルレスマルウェアとは?
サイバー攻撃が高度化した今、万全の対策をしていても被害に遭ってしまう、ということが増えています。なかでも、高度化する脅威として危険視されているサイバー攻撃が、ファイルレスマルウェアです。このファイルレスマルウェアは、exeファイルなどの実行ファイルを使用せず、OS標準のツールを使用し、メモリー上で不正なコードを実行するのが特徴です。

通常のマルウェアによる攻撃の場合、実行ファイルがディスク上に保存され、メールの添付ファイルや、メールの文面でリンクされたWebサイトにアクセスすることで感染します。現在、多くの企業で導入されているEPPでは、実行ファイルに含まれるシグネチャと既知の脅威とのパターンマッチングを行い、水際で被害を食い止めます。しかし、実行ファイルを使用しないファイルレスマルウェアは、そもそもシグネチャがない、すなわちパターンマッチング対象が存在しないため、EPPでは検知することができません。

ファイルレスマルウェアの感染経路
ファイルレスマルウェアが危険視されている理由はこれだけではありません。それは、被害に気づいたとしても、感染原因や攻撃手法をつきとめることが極めて困難である点です。では、ファイルレスマルウェアの感染原因や攻撃手法はどのようになっているのでしょうか。

代表的な例では、実行形式ではないショートカットファイルやレジストリなどがメールに添付されます。そして、そのメールを開封し、添付されたファイルをクリックすることで感染しますが、その際、利用されるのがPowerShell などのOS標準のツールなのです。ディスク上ではなく、PCのメモリー上に悪意あるコードを展開して実行し、感染したPCを不正に操作します。

ファイルレスマルウェアの特徴をまとめると、以下の3点があげられます。
実行ファイルがなく、PCのディスク上に保存されない
EPPでは検索対象外である「メモリー」上で動作する
PowerShellなどの動作はログが残らないこともあり、検知や攻撃手法の特定が困難である
このようなファイルレスマルウェアは、1日当たり数万もの新種が誕生しているとも言われ、今後もさらに増加すると見られています。

これからのサイバー脅威に対抗するには、「侵入後の迅速な対応」を行うことが重要
サイバー攻撃が高度化の一途をたどる昨今、EPPのような既知の脅威を防御する手法だけでは、安全性を確保することがほぼ不可能です。侵入された後の挙動を分析して、脅威を検知する対策が重要となってきます。そこで登場するのが、新たなセキュリティ対策製品EDR(Endpoint Detection and Response)です。

EPPが主に既知の脅威から防御するものであるのに対し、EDRは不正な挙動・振る舞いを検知し、感染後の対応を迅速に行うことを目的としたセキュリティ製品です。EDRにより、EPPで検知できなかったファイルレスマルウェア等による不正な挙動をいち早く検知し、対応することが可能になります。

まとめ
大規模な被害を与えたサイバー攻撃が、企業環境内で検出されるまでの時間は、全世界で日本が最も遅く、平均17時間※1を要していることが分かっています。
ただし、この数字は最良のケースであり、データ漏洩事件の68%※1は、発見されるまで数カ月以上かかるということも分かっています。この数字だけで見ても、侵入したサイバー脅威が組織全体、関係各所に広がり、大きな被害をもたらす危険性が容易に想像できるでしょう。
※1 出展:ソフォス社「7つの気になる真実-エンドポイントセキュリティ」

今後、サイバー脅威はさらに進化し、ファイルを一切使用しない攻撃手法が生まれることも考えられます。こうしたリスクを少しでも軽減するためには、既知の脅威に対する防御に加え、感染をすばやく検知し、迅速な対応を行うことが重要です。』

高度化するマルウエアの攻撃手法、EDRはその手口をどう見抜く

高度化するマルウエアの攻撃手法、EDRはその手口をどう見抜く
高槻 芳 日経クロステック/日経コンピュータ
https://xtech.nikkei.com/atcl/nxt/column/18/01367/082000005/ 

『攻撃の発覚を避けようと工夫する最近のマルウエア。それに対抗するEDRは、端末の多様な情報を収集・解析。攻撃のわずかな痕跡や振る舞いも見逃さない――。その仕組みを解剖する。

 最近のマルウエアは非常に高度な手法を使ってパソコンへの攻撃を隠し、発覚を避けようとしている。マルウエア本体を小型化し、感染先の端末に元からある正規のプログラムを流用するなど、隠蔽の手口は洗練される一方だ。

 その代表例が2019年末から日本に甚大な被害をもたらした「エモテット(Emotet)」だ。このマルウエアはOfficeファイルのマクロを使ってパソコンに感染する。マクロがWindows標準搭載のコマンドラインツール「PowerShell」を起動し、PowerShellコマンドによってEmotet本体をメモリー上にダウンロードして実行する。パソコンのハードディスクにはマルウエアの実行に必要な最低限のファイルしか置かないため、ファイルを分析する従来のウイルス対策ソフトで検知するのは困難だ。

 2020年6月にホンダを襲ったとされるランサムウエア「Ekans」の仕組みも高度だ。本来の攻撃であるファイルの暗号化に先立ち、Windowsが備えるネットワーク設定ツールを使って正規のファイアウオールの設定を変え、端末の通信を妨害していた。これも攻撃の発覚を遅らせる仕組みだ。

 たゆまぬ“研究”の形跡が見られる現代のサイバー攻撃。対抗するには「被害に遭った端末を速やかに発見して対処するのに尽きる」。アクセンチュアでユーザー企業のセキュリティー監視チームなどを支援する、テクノロジーコンサルティング本部セキュリティグループの坂根康之マネジング・ディレクターはこう指摘する。

2つの手法でマルウエアを検知
 対策の要となるのがEDRによって攻撃を「検知」する機能だ。マルウエアが端末の内部に侵入したのか、さらにシステムに感染したのか。それをEDRは主に2種類の手法で検知する。

図 EDRにおける攻撃の「検知」と「封じ込め」
エージェントと解析サーバーが連携して攻撃の痕跡を解析
[画像のクリックで拡大表示]
 1つは、端末のイベントログなどから感染の「痕跡」を見つけ出す手法だ。現実社会の警察官が、事件現場に残された数々の証拠を分析して犯行を特定していくように、EDRはマルウエアの被害に遭った端末や感染範囲などを突き止める。

 EDRは端末に導入したエージェントを使い、端末の様々な情報を収集して記録する。対象とする情報はファイルの作成やプロセスの起動、レジストリーの変更など多岐にわたる。防犯カメラで人の動きを記録するのと同様、端末の挙動を記録し続けている。』

『EDRは記録したデータをクラウド上のサーバーに集めて解析し、攻撃を受けた結果生じる侵害の痕跡がないかどうかを判定する。痕跡とは例えば「マルウエアのハッシュ値やファイル名」「攻撃に利用される外部サーバー(C&Cサーバー)のIPアドレスやURL」「マルウエア感染時に変更されるレジストリー名や値」などだ。EDRベンダーやセキュリティー組織などから「IOC(Indicator of Compromise)」と呼ばれるサイバー攻撃の痕跡情報を入手し、解析に役立てている。

図 マルウエアの感染状況をリモートから調査するEDR
エージェントとクラウド上の解析サーバーが密に連携
[画像のクリックで拡大表示]
 EDRが備えるもう1つの検知手法は、端末の「サイバー攻撃と疑わしい振る舞い」を動的に検知するものだ。前者が過去データに基づく静的な検知とすれば、後者はリアルタイム情報に基づく動的な検知だ。不審な人物の行動をカメラで監視する警備員のように、攻撃時に発生する特徴的な振る舞いをEDRのエージェントやクラウド上のサーバーに組み込んだ検知ロジックで検知する。

 「人工知能(AI)や機械学習を駆使して『どうやら攻撃が始まりそうだ』との兆候を察知する」と、米クラウドストライクのマイケル・セントナスCTO(最高技術責任者)は説明する。

 マルウエア自体は次々に新種が登場し派生しており、IOCなどの痕跡情報を使って網羅的に検知するのは難しい。一方、感染後に生じる端末内部の情報窃取やファイルの暗号化といった攻撃パターンや“クセ”なら、むしろ検知ロジックで絞り込みやすい。こうした考え方に立った検知手法であり、前述のエモテットのように従来のウイルス対策ソフトを欺いて防御をすり抜ける攻撃についても効果が期待できる。

 EDRはマルウエア感染を検知すると、ユーザー企業のSOC(Security Operation Center)やシステム管理者にアラートを送り、自動または手動で感染端末から外部への通信を遮断する。情報漏洩や他の端末への感染拡大を封じ込めた上で、感染した端末を元の状態に修復する。

 こうした一連の検疫活動に並行して、どのような攻撃が行われたかリポートも作成する。検知や封じ込め、修復といった機能は自動化されている場合が多い。だが、人の判断が必要になる巧妙な攻撃の手口については、やはりEDRを導入した全端末から集まる情報を人間が分析し、個別に対策を講じる必要がある。攻撃内容のうちリスクの高いものから優先順位をつけ、全体として迅速かつ合理的な対応を図るのも重要だ。

 EDRは主にイベントログや解析結果を基に、感染の経緯や経路、影響の範囲を調べてリポートを作る。端末がどのようなツールをダウンロードして実行したか、どこに通信しているか、OSの再起動時にマルウエアが実行されるような設定がなされているか、など攻撃の実態を把握していく。

 EDRの中にはAIによる調査支援機能を備えるタイプもある。AIが初期段階でインシデント情報を整理し、優先順位をつけてからSOCの分析官などに渡す。そうすると分析官はより深刻なインシデントに集中して調査できるようになる。

 EDRによる調査支援は攻撃への迅速な対応だけでなく、再攻撃されるリスクを軽減するのにも役立つ。自社を狙う特定の攻撃パターンを把握できれば、それを基に自社専用のIOCを作成できる。それがサイバー攻撃に対する検知精度を高めることにつながる。』

NTTコム・サイバー攻撃事件の深層、多要素認証を無効化されていた

https://xtech.nikkei.com/atcl/nxt/column/18/01157/081900017/

 ※ 文章の内容は、同じであるようだ…。

 ※ 警鐘を鳴らす意味で、再度掲載し、図が掲載されていたので、それを貼っておく…。

『NTTコミュニケーションズに対する2つのサイバー攻撃が明らかとなった。延べ約900社・組織の顧客情報が外部に流出した可能性がある。撤去予定だった海外の運用サーバーの「隙」を突かれた。後日、社員になりすました不正アクセスも判明した。攻撃者は端末の多要素認証を無効化し、社内システムに入り込んでいた。

 「まさか日本のセキュリティー業界のリーダーであるNTTコミュニケーションズが被害を受けるとは」。サイバーセキュリティーに詳しい業界関係者は口をそろえる。

 NTTコムは2020年5月28日、サーバーなどの自社設備がサイバー攻撃を受け、顧客情報が外部に流出した可能性があると発表した。7月2日には、社員になりすました攻撃者から不正アクセスを受け、顧客情報の流出範囲が拡大した恐れがあることも公表した。

 一連の攻撃により、防衛省や海上保安庁、厚生労働省など単純合算で延べ約900社・組織の通信関連工事情報が外部に流出した可能性がある。河野太郎防衛大臣は2020年5月29日の閣議後記者会見で、不正アクセスの報告を受けたと明らかにしたうえで「しっかり調査していただきたい」と要請した。監督官庁の総務省幹部も「現状把握と顧客対応をしっかりやってほしい」とくぎを刺す。

撤去予定の海外サーバーに「隙」
 社内調査により、攻撃者の侵入経路は2通りあったことが判明している。

 1つが顧客向けサービスの監視や障害の切り分けなどを担うシンガポールの運用サーバーを踏み台としたルートだ。攻撃者は2019年9月ごろに同サーバーに侵入。その後、タイなど複数の海外拠点を経由し、2019年12月に法人向けクラウドサービス「Bizホスティング エンタープライズ(BHE、2018年3月にサービスの提供を終了)」と「Enterprise Cloudオプションサービス」の運用サーバーに入り込んでいた。ここを足掛かりに法人向けクラウドの工事情報管理サーバーのほか、社内セグメントのアクティブディレクトリー(AD)運用サーバーや社内ファイルサーバーへと触手を伸ばしていた。

図 NTTコミュニケーションズが受けたサイバー攻撃の概要
2つの不正アクセスが判明した
[画像のクリックで拡大表示]
 NTTコムは2020年5月7日、社内セグメントのADサーバーに対する不正な遠隔操作を試みたログを検知した。遠隔操作の踏み台になった同セグメントのAD運用サーバーを同日中に緊急停止し、社内調査を進めた。その後、AD運用サーバーのアクセス元だった法人向けクラウドの運用サーバーを停止したり、マルウエアによる外部サイトとの通信を遮断したりした。

 実は、最初に侵入を許したシンガポールの運用サーバーは撤去予定だった。同サーバーを収容するデータセンターが老朽化し、2019年10月に新データセンターへの移転を計画していた。同サーバーも新しいものに切り替わる予定だった。まさに撤去直前のタイミングを攻撃者に突かれた。

 同サーバーは撤去を間近に控えていたこともあり、セキュリティー上の脅威を検出するEDR(Endpoint Detection and Response)を導入できていなかった。NTTリミテッド・ジャパンの飯田健一郎社長は「もっと対策の感度を上げておくべきだった」と悔やむ。

 攻撃者がどういった脆弱性を突いてシンガポールの運用サーバーに侵入したかについては「継続調査を実施したが、機器の撤去でログを確認できないため、原因を特定できなかった」(NTTコム)と説明する。』

『社員になりすまし
 もう1つは日本にあるVDI(仮想デスクトップ基盤)サーバー経由だ。シンガポールの運用サーバーを踏み台にした不正アクセスを調査する過程で、複数の社員が勤務日以外に社内のファイルサーバーにアクセスしていることを2020年5月25日に突き止めた。翌26日にはファイルサーバーのアクセス元がすべてVDIサーバーだったことが判明。さらに27日、何者かが社員になりすましてVDIサーバーにログインしていた事実を確認した。

 NTTコムは社員がVDIサーバーにログインする際、多要素認証を採用していた。具体的にはIDとパスワードとは別に、ランダムに並んだ数字の表を使う「マトリクス認証」を併用していた。同社の久野誠史デジタル改革推進部情報システム部門担当部長は「攻撃者は特殊な方法でVDIサーバーに接続していた」と打ち明ける。

 特殊な方法とは、マトリクス認証を無効化し、主にIDとパスワードだけでVDIサーバーにログインできるというものだ。久野担当部長は「我々も認識していなかったVDI全体の抜け道があった。攻撃者はちょっとした(システム上の)『穴』をいくつも組み合わせていた」と語る。

 攻撃者はこの抜け道を見つけ出し、不正入手した社員のIDとパスワードを使って自身の端末でVDIサーバーの認証を突破していた。しかもNTTコムはVDIサーバーへの接続時に端末のウイルス対策ソフトの種類やバージョンもチェックしていたが、攻撃者はこれらも把握し、インストールしたうえで侵入していた。2020年8月6日時点で社員のIDとパスワードの流出経路は判明していないが、社内セグメントのADサーバーからは流出していないことを確認している。

 NTTコムは緊急対応を既に済ませ、2020年5月26日時点でVDI全体の利用を停止した。翌27日に全社員のパスワードも強制リセットした。同社によると、27日以降、不正ログインがないことを確認できているという。

 ルートが異なる2つの不正アクセスに関連はあるのか。NTTコムの小山覚情報セキュリティ部部長は「(攻撃者が同一かどうかは)何とも言えない。攻撃元のアトリビューション(特定)は実施していない」と話す。ただ、どちらも「サイバー攻撃の専門集団」(同社)としている。

 あるサイバーセキュリティーの専門家は「同一の攻撃主体ではないか」としたうえで、「攻撃の途中でユーザーの認証情報を入手し、VDIサーバー経由の接続に切り替えたのではないか。正当なアカウントとパスワードを使ったアクセスのほうがより隠密な行動ができるからだ」と分析する。実際、攻撃者は日勤の時間帯しか動かず、「ばれないようにひっそりと活動していた」(久野担当部長)。攻撃者はメール送信といった目立つ行動も控えていた。

 別のサイバーセキュリティーの専門家は「BlackTechによる攻撃の可能性がある」と指摘する。BlackTechとは、中国政府との関係が噂されるサイバー攻撃集団だ。既に明らかとなっている三菱電機に対するサイバー攻撃にも関与したとされる。BlackTechの攻撃の特徴は「海外拠点の通信機器の脆弱性を利用する」(同)点にあり、特に情報通信や製造業、学術機関が狙われる傾向にある。

UEBAやEDRを導入
 NTTコムは再発防止を急いでいる。まず社員の正当なIDとパスワードを使った「なりすまし攻撃」により、影響範囲の特定に時間がかかった反省から、攻撃者の振る舞いを細かく把握できる「UEBA(Userand Entity Behavior Analytics)」を2021年3月までに本格導入する計画だ。EDRも2020年秋までに、サーバーも含めて全端末への導入を終える。

 サイバー攻撃の動向や企業のセキュリティー対策に詳しいラックの西本逸郎社長は「被害範囲の特定や封じ込めにEDRは有効だ」と語る。パソコンなどのログを詳細に洗い出す「フォレンジック」には、パソコン1台当たり2週間かかるケースもある。「EDRを導入すれば、こうした時間を大幅に短縮できる」(西本社長)。

 NTTコムはセキュリティー対策の有効性を検証する「Red Team」の人員拡充も検討する。社内のITやOT(制御技術)システムに対して、疑似的なサイバー攻撃を仕掛け、対策の実効性を評価する「TLPT(Threat Led Penetration Test)」のプランを策定し、それに合わせるような形で、Red Teamの体制の詳細を詰める。「今後は撤去予定の設備に対するセキュリティー対策も徹底する」(小山部長)。

 NTTコムで判明した今回のサイバー攻撃は多くの企業にとって対岸の火事ではない。新型コロナウイルスの流行により、企業はいや応なく在宅勤務の拡充などを迫られている。そんな中で、利用範囲が拡大するIT機器のセキュリティー水準をどう担保するか。早急に対策が求められる。』