<<メディアアラート>>
ソフォス株式会社
ソフォス、幽霊アカウントの認証情報を利用するNefilimなどのランサムウェア攻撃を追跡調査したレポートを公開
*本資料は2021年1月16日(現地時間)に英国オックスフォードにて発表されたプレスリリースの抄訳です。
ネットワークおよびエンドポイントセキュリティのグローバルリーダー企業である英国ソフォス(日本法人:ソフォス株式会社 東京都港区 代表取締役 中西 智行)は本日、Rapid Response(https://www.sophos.com/ja-jp/products/managed-threat-response/rapid-response.aspx )チームが追跡調査してきた実環境でのサイバー攻撃に関する最新レポートを公開しました。「幽霊アカウントの認証情報を悪用するNefilimランサムウェア」(https://news.sophos.com/en-us/2021/01/26/nefilim-ransomware-attack-uses-ghost-credentials/ )と題するこの記事では、「幽霊」アカウントの認証情報の監視を怠った場合、2つのサイバー攻撃を誘発することを詳細に説明しています。この攻撃の1つでは、Nefilimランサムウェアが関与しています。
Nefilim(別名:Nemty)ランサムウェアは、データの盗み出しと暗号化を組み合わせた攻撃を行います。これまでに、Nefilimの攻撃による影響を受けたシステムは100を超えています。ソフォスのレスポンス担当者は、特権レベルのアクセス権限がある管理者アカウントに対する最初の侵入を確認しましたが、これはランサムウェアが実行される4週間以上前のことでした。この4週間、攻撃者はネットワークを静かに通り抜け、ドメイン管理者アカウントの認証情報を盗み出し、数百GBのデータを見つけて抜き出してから、ランサムウェアを実行し、攻撃者の存在を明らかにしました。
ハッキングされて、この攻撃に悪用された管理者アカウントは、3ヶ月ほど前に悲しくも亡くなった社員のものでした。このアカウントは多くのサービスに利用されていたため、この企業はアカウントをそのまま利用していました。
ソフォスのレスポンス担当者は、別の攻撃で侵入した攻撃者が新しいユーザーアカウントを作成し、その企業のActive Directoryのドメイン管理グループに追加していたことを特定しました。この新しいドメイン管理者アカウントを使用して、攻撃者は約 150台の仮想サーバーを削除し、Microsoft Bitlockerを使用してサーバーのバックアップを暗号化しましたが、これらの操作を実行するときにアラートが発生することはありませんでした。
Sophos Rapid ResponseのマネージャーであるPeter Mackenzieは、次のように述べています。「侵入者の存在を知らしめるランサムウェアがなければ、攻撃者はどれだけの期間、会社に把握されることなくドメイン管理者としてネットワークにアクセスできていたのでしょうか?アカウントの認証情報を常に把握して管理しておくことは基本的な対策ですが、サイバー攻撃から組織を守るために極めて重要です。アカウントが設定され、多くの場合、過剰とも思われるアクセス権限が付与されていながらも、その存在が何年も忘れ去られてしまうケースが後を絶ちません。このような「幽霊」アカウントは、攻撃者にとって格好の標的です。ユーザーが退職した後でも、組織が本当にそのアカウントを必要としているのであれば、サービスアカウントを導入し、対話型のログインを拒否して、不正な活動に悪用されないようにするべきです。また、他の処理にアカウントを必要としないのであれば、アカウントを無効にして、Active Directoryを定期的に監査する必要があります。適切に監視されてなく使用されていないアカウントを有効にしておくことだけではなく、従業員に必要以上のアクセス権限を付与することも同じように危険です。ドメイン管理者の権限が必要なアカウントは、多くの人が思っているよりも実は多くありません。特権を本当に必要とする処理でなければ、特権のあるアカウントをデフォルトで使用するべきではありません。ユーザーは、必要な時に必要とされるアカウントを、特権が必要なタスクのためだけに、昇格して使用しなければなりません。さらに、ドメイン管理者のアカウントが使用された場合や、新しい管理者アカウントが作成された場合には通知されるように、アラートを設定する必要があります」
Nefilimランサムウェアは、2020年3月に初めて報告されました。Dharmaのようなランサムウェアファミリーと同様に、Nefilimは、主に脆弱性のあるリモートデスクトッププロトコル(RPD)システムや、外部に公開されているCitrixソフトウェアを標的としています。これは、いわゆる「第2の恐喝」を行うDoppelPaymerなどと同様に、拡大し続けているランサムウェアファミリー(https://www.sophos.com/ja-jp/medialibrary/pdfs/technical-papers/sophos-2021-threat-report.pdf )の1つであり、盗み出したデータの暗号化と、データを一般に公開すると脅す2つの手法を組み合わせた攻撃を実行します。
Nefilim攻撃のIoC(セキュリティ侵害の痕跡)やTTP(戦術、手法、手順)などのこのインシデントの詳細情報は、「幽霊アカウントの認証情報を悪用するNefilimランサムウェア」(https://news.sophos.com/en-us/?p=72133& )をご覧ください。
●ソフォスについて
ソフォスは、次世代サイバーセキュリティの世界的リーダーとして、150か国以上のあらゆる規模の400,000社以上の企業を今日の最も高度なサイバー脅威から保護しています。SophosLabsのグローバルな脅威インテリジェンスおよびデータサイエンスチームにより、ソフォスのクラウドネイティブでAIによって機能拡張されたソリューションは、ランサムウェア、マルウェア、エクスプロイト、データ流出、自動化されたアクティブな攻撃、フィッシングなど進化するサイバー犯罪技術からエンドポイント(ラップトップ、サーバー、モバイルデバイス)とネットワークを保護します。クラウドネイティブな管理プラットフォームであるSophos Centralは、Intercept XエンドポイントソリューションやXG次世代ファイアウォールなど、ソフォスの次世代製品ポートフォリオ全体を、APIのセットを介してアクセス可能な単一の同期セキュリティ(Synchronized Security)システムに統合します。ソフォスは、クラウド、機械学習、API、自動化、MTR(Managed Threat Response)などの高度な機能を活用して、あらゆる規模の企業にエンタープライズレベルの保護を提供し、次世代サイバーセキュリティへの移行を推進しています。ソフォスは、53,000社以上のパートナーおよびマネージドサービスプロバイダー(MSP)からなるグローバルチャネルを通じて製品を販売しています。ソフォスはまた、革新的な商用テクノロジーをSophos Home経由で消費者に提供しています。ソフォスの本社は英国オックスフォードにあります。詳細については、www.sophos.com (日本語サイト:https://www.sophos.com/ja-jp.aspx )をご覧ください。
●報道関係のお問合せ先
ソフォス株式会社広報事務局
Tel: 03-6454-6930
Email: sophos@ambilogue.com
以上
ソフォスのレスポンス担当者は、別の攻撃で侵入した攻撃者が新しいユーザーアカウントを作成し、その企業のActive Directoryのドメイン管理グループに追加していたことを特定しました。この新しいドメイン管理者アカウントを使用して、攻撃者は約 150台の仮想サーバーを削除し、Microsoft Bitlockerを使用してサーバーのバックアップを暗号化しましたが、これらの操作を実行するときにアラートが発生することはありませんでした。
Sophos Rapid ResponseのマネージャーであるPeter Mackenzieは、次のように述べています。「侵入者の存在を知らしめるランサムウェアがなければ、攻撃者はどれだけの期間、会社に把握されることなくドメイン管理者としてネットワークにアクセスできていたのでしょうか?アカウントの認証情報を常に把握して管理しておくことは基本的な対策ですが、サイバー攻撃から組織を守るために極めて重要です。アカウントが設定され、多くの場合、過剰とも思われるアクセス権限が付与されていながらも、その存在が何年も忘れ去られてしまうケースが後を絶ちません。このような「幽霊」アカウントは、攻撃者にとって格好の標的です。ユーザーが退職した後でも、組織が本当にそのアカウントを必要としているのであれば、サービスアカウントを導入し、対話型のログインを拒否して、不正な活動に悪用されないようにするべきです。また、他の処理にアカウントを必要としないのであれば、アカウントを無効にして、Active Directoryを定期的に監査する必要があります。適切に監視されてなく使用されていないアカウントを有効にしておくことだけではなく、従業員に必要以上のアクセス権限を付与することも同じように危険です。ドメイン管理者の権限が必要なアカウントは、多くの人が思っているよりも実は多くありません。特権を本当に必要とする処理でなければ、特権のあるアカウントをデフォルトで使用するべきではありません。ユーザーは、必要な時に必要とされるアカウントを、特権が必要なタスクのためだけに、昇格して使用しなければなりません。さらに、ドメイン管理者のアカウントが使用された場合や、新しい管理者アカウントが作成された場合には通知されるように、アラートを設定する必要があります」
Nefilimランサムウェアは、2020年3月に初めて報告されました。Dharmaのようなランサムウェアファミリーと同様に、Nefilimは、主に脆弱性のあるリモートデスクトッププロトコル(RPD)システムや、外部に公開されているCitrixソフトウェアを標的としています。これは、いわゆる「第2の恐喝」を行うDoppelPaymerなどと同様に、拡大し続けているランサムウェアファミリー(https://www.sophos.com/ja-jp/medialibrary/pdfs/technical-papers/sophos-2021-threat-report.pdf )の1つであり、盗み出したデータの暗号化と、データを一般に公開すると脅す2つの手法を組み合わせた攻撃を実行します。
Nefilim攻撃のIoC(セキュリティ侵害の痕跡)やTTP(戦術、手法、手順)などのこのインシデントの詳細情報は、「幽霊アカウントの認証情報を悪用するNefilimランサムウェア」(https://news.sophos.com/en-us/?p=72133& )をご覧ください。
●ソフォスについて
ソフォスは、次世代サイバーセキュリティの世界的リーダーとして、150か国以上のあらゆる規模の400,000社以上の企業を今日の最も高度なサイバー脅威から保護しています。SophosLabsのグローバルな脅威インテリジェンスおよびデータサイエンスチームにより、ソフォスのクラウドネイティブでAIによって機能拡張されたソリューションは、ランサムウェア、マルウェア、エクスプロイト、データ流出、自動化されたアクティブな攻撃、フィッシングなど進化するサイバー犯罪技術からエンドポイント(ラップトップ、サーバー、モバイルデバイス)とネットワークを保護します。クラウドネイティブな管理プラットフォームであるSophos Centralは、Intercept XエンドポイントソリューションやXG次世代ファイアウォールなど、ソフォスの次世代製品ポートフォリオ全体を、APIのセットを介してアクセス可能な単一の同期セキュリティ(Synchronized Security)システムに統合します。ソフォスは、クラウド、機械学習、API、自動化、MTR(Managed Threat Response)などの高度な機能を活用して、あらゆる規模の企業にエンタープライズレベルの保護を提供し、次世代サイバーセキュリティへの移行を推進しています。ソフォスは、53,000社以上のパートナーおよびマネージドサービスプロバイダー(MSP)からなるグローバルチャネルを通じて製品を販売しています。ソフォスはまた、革新的な商用テクノロジーをSophos Home経由で消費者に提供しています。ソフォスの本社は英国オックスフォードにあります。詳細については、www.sophos.com (日本語サイト:https://www.sophos.com/ja-jp.aspx )をご覧ください。
●報道関係のお問合せ先
ソフォス株式会社広報事務局
Tel: 03-6454-6930
Email: sophos@ambilogue.com
以上
