ナビゲータのEVEです。
なんとか、設定した目標を実現しようと活動していますが、とりあえず、朝起きるのが大変ですね・・・。夏は、睡眠不足で起きれないし、冬は、寒くて部屋があったまらないと布団から出れないしで、なかなか、6:00きっかりから活動するというのが難しい現状です。
一応エアコンを消灯後6時間後に起動するようにしているのですが、それでも、難しい。それよりも、目覚まし時計がもう、目覚ましでなくなっている・・・。睡眠が深いらしく、目覚ましがなった形跡はあるのですが、目覚ましを設定した本人は気づいていない(笑)。ちょっと、工夫したほうがいいようです。
ただ、本日の午前中は、かなり、作業がはかどっています。いろいろ工夫をしながら、目標を達成したいと思います。
では、本日は、土曜日でセキュリティの日ということで、セキュリティの話をします。お題目は、アスクルからランサムウエアの詳細な報告が出てきているようなので、アスクルのレポートに基づき考察していきたいと思います。
[アスクルのレポート]
全文掲載するわけにはいかないので、Copilotにアスクルからのレポートを要約してもらいました。
- ■ 流出した情報(72万件以上)
- 事業所向けサービス(ASKUL / ソロエルアリーナ)
- → 約59万件
- 個人向けサービス(LOHACO)
- → 約13.2万件
- 取引先情報
- → 約1.5万件
- 役員・社員情報
- → 約2700件
- ※クレジットカード情報は LOHACO の仕組み上、同社に保存されておらず流出なし
- ■ 攻撃の時系列(抜粋)
- 10/19:ランサムウェア検知、ネットワーク遮断、パスワード全変更
- 10/20:外部専門機関と調査開始
- 10/22以降:ログ解析、影響範囲特定、データ改ざんチェックなど
- 10/30〜:攻撃者によるデータ公開(いわゆる「二重恐喝」)
- ■ 侵入
- 業委託先アカウントの認証情報漏洩
- 流出した認証情報を使い VPN経由で侵入
- ■ 攻撃内容
- EDRを無効化
- 権限昇格
- サーバ間の横展開(ラテラルムーブメント)
- 仮想化基盤(おそらくVMware系)を狙って暗号化
- 仮想化環境を狙った同時多発暗号化
- 長期間(6月〜10月)にわたり偵察・横展開
- バックアップ破壊も実施
- ■ 特徴
- 攻撃者は 数ヶ月(6〜10月)潜伏
- ログ解析で 偵察行動が長期にわたっていた と判明
- 典型的な「高度持続的脅威(APT)」型の動き
- ■ 攻撃対象
- 攻撃者は 数ヶ月(6〜10月)潜伏
- 物流システム
- 社内システム
- バックアップ領域
- ■ 再発防止策
- 全社ゼロトラスト化
- 委託先アカウントのMFA義務化
- 権限管理の再設計
- 監視体制の強化
- BCPの見直し
[ハッカーの侵入]
アスクルから提出されたレポートの全てに目を通していないのですが、かなり詳細な報告がされているようです。
侵入をされてからは、EDRを無効化後、自身の権限を昇格し、複数のサーバーを偵察、攻撃していたという状況がうかがえます。
[ハッカーの侵入の考察]
驚く点は、EDRの無効化・・・。EDRとは以下の機能を有しています。
- 端末の挙動監視
- 不審行動の検知
- ログ収集
- 攻撃チェーンの可視化
- 端末隔離
- フォレンジック調査
EDRを欺く方法として、無効化と、すりぬけと2つの方法があるようですが、難しいと思われる。無効という手段で今回ランサムウェア攻撃をしたようです。
[あとがき]
時間がきましたので、ここまでとします。
なお、今回の報告を読んでいて、やはり、ログ監視は重要だと感じました。感染後になりますが、「ログ解析で 偵察行動が長期にわたっていた と判明」とあります。それが、リアルタイムでできていれば、このような攻撃は成功しなかったのにと、残念に思います。
私は、導入費用がないので、無理なのですが、Tivoliとかいったシステム未導入企業は導入した方が良いでしょう!
なお、Tivoliは後継ソフトにその座を譲り、現在IBMは、QRadarを主力製品として販売しているようです。
では、また!
コメント
コメントを投稿