2026年5月9日 アスクルへのランサムウェア攻撃の考察 [セキュリティ研究室]

日付:
 こんにちは!
 ナビゲータのEVEです。

 2日間ブログをお休みしました。まだ、生活のリズムが軌道にのっていない・・・。
 3時間ぐらいしか寝ていないのに、いきなり4:00ぐらいに起きたり、8:00まで寝ていたりと、夜型から朝型への変更がうまくいっていません。うまく変えることができたと思ったのですけれどね・・・?まだまだ時間がかかりそうです。ただ、想像通り、寝つきはいいようです。
 夜勉している人たちは、睡眠を十分に取っているのでしょうか?若いときは、夜中勉強していても寝れないっていうことはなかったと記憶しているので、多分、若い人たちなのでしょう?お年寄りは素直に、寝る前は何もせず、時間通りに寝るようにした方いいようです。
 そんなゴールデンウィール明けの今週ですが、例年通り、セキュリティインシデントが多いです。その原因について、今まで深堀をしていなかったので、ちょっと、してみたいと思います。

  1. 休暇中の監視体制の低下
  2. パッチ未適用・定義ファイル未更新の端末が大量に復帰
  3. 休暇中に届いた大量メールの一括チェックによる誤クリック
  4. 攻撃者が“休暇明け”を狙って攻撃を仕掛ける
  5. 一時的な権限付与の管理不備
  6. 休暇中のバックアップ確認不足
  7. 休暇中の異常を誰も気づかない(物理・情報)
  8. 属人化したシステムの“担当者不在”問題

以上は、Copilotに聞いた内容なのですが、今までの会社の業務を振り返ると、「休暇中に届いた大量メールの一括チェックによる誤クリック」が主因かなって思っています。休暇モードが抜けずに、ついつい不用意な行動をとってしまうといったところでしょうか?
 多分、多くの企業は知っているはずなので、注意喚起はしませんでしたが、したほうがよかったでしょうか?
 これだけでも、多くの話をすることができるのですが、もう、終わってしまったことなので、来年のゴールデンウィークにすることにしましょう。覚えていればということになりますが(笑)。
 では、本日は、土曜日ということで、セキュリティの日です。本日は、アスクルへのランサムウェア攻撃の今までの振り返りをしたいと思います。

[アスクルのランサムウェア攻撃の振り返り]

 つい最近までは、社内にランサムウェアが侵入した場合、権限を昇格させない方法を考えていました。本日は、権限を昇格させない方法を考えるに至ったプロセスを振り返ってみたいと思います。
 本当に大雑把になりますが、アスクルのランサムウェアについて、以下の流れで考え、先週までは、「社内に侵入したランサムウェアの権限昇格を防ぐ」という検討をしていました。

  1. アスクルからのレポートの考察
  2. 侵入経路の考察
  3. 最重要問題点の特定
  4. 社内に侵入したランサムウェアの権限昇格を防ぐ

[アスクルからのレポートの考察]

 以下が、アスクルが公表したレポートをCopilotに要約してもらったものです。

    ■ 流出した情報(72万件以上)
  • 事業所向けサービス(ASKUL / ソロエルアリーナ)
    • → 約59万件
  • 個人向けサービス(LOHACO)
    • → 約13.2万件
  • 取引先情報
    • → 約1.5万件
  • 役員・社員情報
    • → 約2700件
    ※クレジットカード情報は LOHACO の仕組み上、同社に保存されておらず流出なし
    ■ 攻撃の時系列(抜粋)
    10/19:ランサムウェア検知、ネットワーク遮断、パスワード全変更
    10/20:外部専門機関と調査開始
    10/22以降:ログ解析、影響範囲特定、データ改ざんチェックなど
    10/30〜:攻撃者によるデータ公開(いわゆる「二重恐喝」)
    ■ 侵入
  • 業委託先アカウントの認証情報漏洩
  • 流出した認証情報を使い VPN経由で侵入
    • ■ 攻撃内容
  • EDRを無効化
  • 権限昇格
  • サーバ間の横展開(ラテラルムーブメント)
  • 仮想化基盤(おそらくVMware系)を狙って暗号化
  • 仮想化環境を狙った同時多発暗号化
  • 長期間(6月〜10月)にわたり偵察・横展開
  • バックアップ破壊も実施
    • ■ 特徴
  • 攻撃者は 数ヶ月(6〜10月)潜伏
  • ログ解析で 偵察行動が長期にわたっていた と判明
  • 典型的な「高度持続的脅威(APT)」型の動き
    • ■ 攻撃対象
  • 攻撃者は 数ヶ月(6〜10月)潜伏
  • 物流システム
  • 社内システム
  • バックアップ領域
    • ■ 再発防止策
  • 全社ゼロトラスト化
  • 委託先アカウントのMFA義務化
  • 権限管理の再設計
  • 監視体制の強化
  • BCPの見直し

[侵入経路の考察・最重要問題点の特定]

 ここでは、以下の流れでウイルスが侵入してきていると想定し、その中で、人間系ではなく、システム系で防げる可能性があるものを特定し、それが、ランサムウェアの権限昇格だとしています。
 人間系は、どんなに優秀な人間を雇ったとしても、100%防ぐことはできず、しかも、それに偏った人間を雇用した場合、本来ほしい人材が手に入らない可能性を指摘し、システム系で防ぐことが可能である、ランサムウェアの権限昇格に焦点をあてています。

侵入経路の確保
ソーシャルエンジニアリング
フィッシングメール 経由
VPN・クラウドアカウント の認証情報窃取
脆弱性攻撃(未パッチのサーバー・端末)
悪性広告(Malvertising)・ドライブバイダウンロード
サプライチェーン攻撃
アカウントの認証情報窃取
内部ネットワークへ横展開

[社内に侵入したランサムウェアの権限昇格を防ぐ]

 権限昇格を防ぐために、まず最初に、「❶社内に侵入してきたランサムウェアの権限昇格を防ぐ」の検討を始めました。その検討の中で、「❶-4.権限設計とネットワーク構造」の検討を3月ぐらいから始め、先週までしたいたという状況です。

❶社内に侵入してきたランサムウェアの権限昇格を防ぐ
  1. 資格情報の保護
  2. OS・ソフトウェアの最新化
  3. 端末の暗号化(Disk / Memory)
  4. 権限設計とネットワーク構造
  5. EDR自己防御
  6. 横展開対策
  7. バックアップ分離
  8. 監視(SOC)
❶-4.権限設計とネットワーク構造
①権限設計(Privilege Design)で求められること
管理者権限を分離する(Tierモデル)
ローカル管理者パスワードを端末ごとにバラバラにする(LAPS)
サービスアカウントの権限を最小化する
ドメイン管理者は日常利用しない
ログオンできる場所を制限する(Logon Restrictions)
 → 1つの端末を取られても、ドメイン管理者権限に到達できない構造を作る。
②ネットワーク構造(Network Segmentation)で求められること
ネットワークを分割する(VLAN / セグメント)
管理ネットワークを分離する
バックアップネットワークを分離する
サーバー間通信を“許可制(Allowlist)”にする
SMB/RDPなど横展開に使われるプロトコルを制限する
 → 攻撃者が侵入しても、横展開できず、重要サーバーに到達できない構造を作る。

 去年からこのことについて書いていたので、ブログを書いている本人でも、なんで現在ここまで書いたのか忘れていましたが、流れを押さえてすっきりしました。

[あとがき]

 すっきりしたので、来週から、本筋に戻りたいと思います。来週は、「5.EDR自己防御」からになります。

  1. 資格情報の保護
  2. OS・ソフトウェアの最新化
  3. 端末の暗号化(Disk / Memory)
  4. 権限設計とネットワーク構造
  5. EDR自己防御
  6. 横展開対策
  7. バックアップ分離
  8. 監視(SOC)


 では、また!!!

コメント

コメントを投稿