今週のランサムウェアと対策 [セキュリティ研究室]

　こんにちは！
　ナビゲータのEVEです。

　本日は、土曜日と言うことで、セキュリティの日です。
　今日に限った話ではないのですが、寒くなってから一日中眠い・・・。なかなか進捗を進めることができません。それに加えて、現在、EVEMST003ログ管理システムを製造していますが、セキュリティの問題で困っています。選択画面までは作ったのですが、対象ログを読み込むことができない・・・。それはセキュリティのためなのですが、想定外でした・・・。想定すべきではありましたが・・・。
　っという問題に対して、現在、rsyslog経由でログを取得しようとしています。情報処理の勉強をしている人なら、syslogは知っていると思います。しかし、同syslogは開発が終了し、現在は、2004年から開発が始まった、rsyslogを使用するケースが多いようです。最初この記事を見たとき、すべてのファイルを1つにまとめるため、選択画面は不要かと思ったのですが、1つにまとめることも可能ですが、取得したい種類毎に分割することも可能だそうです。っということで、今回作った選択画面はそのまま残し、開発を続けることにしました。
　ただ、このrsyslog、動かない・・・。本日、朝方2時間ぐらい粘りましたが、結局動かすことができず、スナップショットからrsyslog構築前の状態に戻しました。そんな状況で、本日はデイリースクラムはしていませんが、以上をもってデイリースクラムとさせていただきます。
　では、早速、今週のランサムウェア事件について調査したいと思います。

[今週のランサムウェア攻撃]

　今週アスクルがランサムウェア攻撃に遭ったという話はブログの中でも話しましたが、大きなニュースになっていませんが、もう、1件発生していました。それは、朝の挨拶で紹介した、流通経済大学です。まずは、9月末から続くアサヒビールの今週の状況について見ていきましょう。

日付	出来事
10月21日（火）	犯行グループ「Qilin」が犯行声明を発表。約27GBの内部情報を流出させたと主張。
10月22日（水）	一部工場が稼働再開。ただし出荷・受注システムは依然停止中。紙と電話による代替業務が継続。
10月23日（木）	「規制遵守の武器化」による脅迫手法が報道される。法令違反を示唆する情報公開で企業を揺さぶる戦略。
10月24日（金）	月間損害額が最大300億円規模と試算される。決算発表の延期も検討中。
10月25日（土）	復旧の目処は依然立たず。BCPやDX構造の見直しが急務とされ、業界全体への波及が懸念される。

　以上の通りです。流れを整理すると、システムにとどまらず、バックアップまでウイルスに感染している状況を想像させます。
　では、次にアスクルを見てみましょう。

日付	出来事
10月19日（日）	午前に異常検知。ランサムウェア感染の疑いでネットワーク遮断。午後4時半にASKUL・LOHACO・ソロエルアリーナの受注を停止。 対策本部を設置。社内外合わせて約100名の調査チームを編成し、ログ解析と障害範囲の特定を開始。
10月21日（火）	出荷停止が継続。未出荷注文は順次キャンセル。FAX注文も送信エラーで受付不可。
10月22日（水）	第2報を発表。物流システム（WMS）中心に障害が発生。グループ会社ASKUL LOGISTの業務も停止。
10月24日（金）	現状報告。個人情報流出は確認されていないが、復旧の目処は立たず。医薬品受注やメール配信なども停止中。

　本来なら、最悪でもバックアップから戻した場合、3～4日で復旧しそうな所ですが、現在も復旧の目処がたっていない状況から、対策が十分でないか、もしくは、こちらも、バックアップも感染して使えないという状況が考えられます。
　それでは、最後に、流通経済大学のランサムウェア感染状況についてみていきましょう。

日付	出来事
10月9日（木）未明	証明書発行システム用の外部サーバーがランサムウェアによる不正アクセスを受ける。個人情報漏えいの可能性が発生。
10月14日（火）	大学が公式に事案を公表。警察署および文部科学省に届け出。学内に対策本部を設置。
10月21日（火）	メディア各社が報道。証明書発行システム「パピルスメイト」が標的であった可能性が指摘される。
10月24日（金）	被害状況の確認と原因究明が継続中。個人情報漏えいの範囲は未確定。再発防止策の策定に着手。

　今週知った事件ですが、発生は、10月9日に発生していたようです。アスクルも流通経済大学も犯人からの犯行声明は出ておらず、もしかしたら、水面下での交渉が行われている可能性があります。

　アスクルが犯罪者から狙われるのは何となく理解できますが、流通経済大学は理解できません。その流通経済大学への攻撃目的について、Copilotは以下のように分析しています。

• セキュリティの脆弱性
• 個人情報の価値
• 支払い圧力の高さ
• サプライチェーンの足がかり
• 攻撃の実験場としての利用

　「セキュリティの脆弱性」については、理解できますよね。子供が減る中、学校運営は難しい状況にあります。その中にあって、セキュリティはコストではあって投資ではないと考えていると思われます。
　「個人情報の価値」は、ダークウェッブサイトで個人情報は売れるそうです。1人2人なら安いでしょうが、卒業生を含めて数万人になればいいお金になるかもしれません。ただ、東大の方がもっと高く売れそうですが(笑)。まっ、東大より流通経済大学の方が、セキュリティが脆弱だったという理由だったのかもしれませんが・・・。
　「サプライチェーンの足がかり」は、サプライチェーン攻撃を示唆しています。流通経済大学が攻撃対象とネットワークがつながっていた場合、流通経済大学経由で攻撃しようとしていたかもしれません。
　「攻撃の実験場としての利用」というのも、あるかもしれません。ただ、「支払い圧力の高さ」は、？って感じですね。

[時限式ランサムウェア]

　アサヒビールは、時限式のランサムウェアに感染した可能性が高いです。その場合、バックアップは無駄になります。っということは、BCP、DR、IRなどは、考えても無駄と言うことになります。以上を前提に考えた場合、ランサムウェアの攻撃を受けないという考えに基づいて、システム設計をする必要があります。以下は、Copilotが考えるシステム設計です。

1. ゼロトラストアーキテクチャの徹底

全ての通信・操作・アクセスを「信頼しない」前提で設計。

ユーザー・端末・アプリ・ネットワークの認証と検証を多層化。

例：端末認証＋ユーザー認証＋動的ポリシー＋振る舞い分析。

2. アプリケーションホワイトリスト＋実行制御

OSレベルで許可されたアプリケーション以外は実行不可にする。

PowerShellやWScriptなどのスクリプト実行環境も制限。

USBや外部メディアの自動実行を完全無効化。

3. 権限設計の最小化と分離

管理者権限は一時的・用途限定で付与（Just-In-Time Admin）。

業務ユーザーはファイル実行権限を持たない設計。

ADグループやRBACによる権限分離と監査。

4. メール・Web経由の攻撃遮断

メールフィルタ＋添付ファイルの自動サンドボックス実行。

URLクリック時に仮想ブラウザで隔離実行。

HTMLメールやマクロ付きOfficeファイルの無効化。

5. EDR＋振る舞い検知の導入と自動遮断

ファイルベース検知ではなく、異常な振る舞い（暗号化・権限昇格・横展開）を検知。

検知後は自動で端末隔離＋通知＋ログ取得。

EDRログはSIEMに連携し、相関分析で潜伏型も検知。

6. 構成のコード化と再現性の確保（IaC）

OS・アプリ・設定はコードで管理し、感染時は即再構築可能。

感染しても「構成を再展開＋データを検証復元」で業務継続。

DockerやVMテンプレートで環境を使い捨て可能に設計。

7. ユーザー教育とシミュレーション訓練

定期的な疑似攻撃訓練（フィッシング・USB感染）を実施。

「開かない・クリックしない・報告する」文化の定着。

教育コンテンツもテンプレート化＋定期更新。

[あとがき]

　レガシーシステムの刷新と、ゼロトラストは必須でしょうね？時限式ランサムウェアが年単位で潜伏しているという状況を想像した場合、以上の対応は必須だと思われます。ただ、以上プラスもっと何かできそうです。来週は、ChatGPT、Gemini、Copilotと意見交換しながら、私の意見を述べたいと思います。

　では、また！