サイバー脅威に関するAcronis CPOCの最新情報: 2020年12月14日の週

Cyberthreat update from Acronis CPOCs: Week of December 14, 2020

アクロニスでは常に、お客様のデータに対する危険を監視する取り組みや、アップデートをデプロイして新たに発見された脆弱性に対応するために更新を実行し、さらに、お客様の安全を守るために、注意喚起や推奨事項をお知らせしたりする取り組みを行っています。私たちのグローバルネットワーク、アクロニス サイバープロテクション オペレーションセンター(CPOC)は、最新のサイバー脅威をプロアクティブに検知し、それらを防ぐために、24時間体制で取り組んでいます。

この取り組みの一環として、政府施設へのランサムウェア攻撃や、利用者の多いビジネスアプリケーションに存在する新しい脆弱性など、デジタル環境における最新の危険情報を動画でお知らせする活動を行っています。最新のニュース速報と分析を以下でご紹介します。

 

SolarWinds社製品が不正アクセスにより18,000もの組織への攻撃に悪用される

ITベンダーのSolarWinds社が、大規模なサプライチェーン攻撃で不正アクセスの被害に遭いました。この攻撃では、米国政府や多数のフォーチュン500企業なども影響を受けています。

攻撃者はSolarWindsの開発環境に侵入し、同社製品Orionのアップデートにマルウェアを混入したと考えられます。このマルウェアは特別なバックドア型で、2週間は「眠った」状態となり、その後、ローカルのセキュリティツールを無効化した上でリモートサーバからコマンドを実行します。2020年3月以来、18,000もの同社顧客がこの感染したアップデートをインストールしました。

今回のようなソフトウェアのサプライチェーン攻撃は、信頼できる実在のベンダーによる、正当な署名がされたアップデートを通じて広がることから、検知が難しいものです。被害の全容はいまだ明らかになっていませんが、過去にCCleaner、M.E.Doc、Asus、NetSarangなどが巻き込まれた類似の事例では、数百万の端末に侵入されるという結果になりました。

この攻撃を受けた場合のセキュリティ侵害インジケータ(IoC)は、アクロニス サイバー プロテクション オペレーションセンター(CPOC)のモニタリングチェーンにすでに追加されています。Acronis Cyber Protectは、Sunburstなどのバックドアをブロックし、このようなマルウェアによるシステムの損害やリモートサーバーとの通信を事前に防ぎます。

 

Foxconn Mexico社がDoppelPaymerランサムウェア攻撃を受ける

Foxconn社は80万人の従業員を抱え、年間に1800億ドルの収益を上げるグローバルな電子機器メーカーです。そのメキシコの拠点が、DoppelPaymerによるランサムウェア攻撃を受けました。

攻撃者は1200台のサーバを暗号化し、25 TBのバックアップデータを消去した後で、同社のシステムから100 GBのデータを盗み出しました。ビットコインでおよそ3400万ドルの身代金が要求されましたが支払われず、窃取されたデータがオンラインで公開されました。

サイバー犯罪者の攻撃はさらに過酷さを増しており、今回の身代金額はこれまでの最高額に匹敵します。Acronis Cyber Protectは振る舞い検知の手法を使い、既知ならびに未知の各種ランサムウェアをブロックし、データ損失を防ぎます。また、バックアップデータを不正な操作から守ります。

 

攻撃のペースを上げるEgregor、高価値の2ターゲットへ身代金を要求

ランサムウェア「Egregor」は最近、1週間で2つの価値の高い標的に身代金要求を行いました。1つは大手小売業者のKマート社、もう1つはバンクーバー市の交通事業者、TransLink社です。

Egregorを使った攻撃者は今年の9月に活動を始めたばかりですが、Randstad社、Cencosud社、Crytek社、Ubisoft社、さらにBarnes & Noble社への攻撃を成功させ、一気に知名度を上げました。このグループは、身代金を7:3で分け合うというモデルでランサムウェアをサービス化したRansomware-as-a-Service(RaaS)を提供しており、潜在的なターゲット数を大幅に増加させています。

身代金の具体的な額は公開されていないものの、TransLink社への攻撃で取得されたスクリーンショットからは、復号キーと引き換えに「数億」ドルが要求されたことが示唆されています。Acronis Cyber Protectは、AIによる複数の保護のレイヤーにより、Egregorなどのサイバー脅威をその途上で防ぐことができます。

 

Microsoft Teamsにゼロクリックでのリモートコード実行の脆弱性が見つかる

ゼロクリックでリモートコード実行(RCE)が可能な脆弱性が、Microsoft Teamsのデスクトップクライアントで見つかりました。この脆弱性により、機密ファイルやプライベートのチャット、秘密鍵など、個人データが攻撃者に盗み取られる可能性があります。

今回のエクスプロイト攻撃では、被害者のコンピューターでのコード実行に特別に作成したメッセージを使用しており、このメッセージを表示しただけで、その中身に対話操作を加えなくてもコードが実行されます。調査により、この脆弱性ではさらに、格納型クロスサイトスクリプティングや権限昇格(管理者レベルまで)、マイク/カメラへのアクセス、さらにキーロギングが可能になることがわかりました。

Microsoft Teamsは多くの組織で積極的に使われており、1日のアクティブユーザー数は1億1500万人です。企業ネットワークでは、他のTeamsネットワークでもアクティブなゲストをホストすることがよくあるため、この脆弱性が組織をまたいだワーム侵入の入口になる可能性もあります。Acronis Cyber ProtectはMicrosoft Teamsと統合されており、Teamsのプロセスによるコードインジェクションや疑わしいオペレーションを防ぎ、ユーザーをこれらの攻撃から守ります。

 

新型コロナウイルスのワクチン配布がフィッシング詐欺の標的に

世界保健機関(WHO)による発展途上国への新型コロナウイルスワクチン配布計画を探ろうと、標的型フィッシングメールによる情報収集が、イタリア、ドイツ、台湾、韓国などの国で試みられています。

この電子メールは、政府関係者や重要なコンポーネントのメーカーに価格見積もりを装って送信されましたが、悪意のあるHTMLファイルが添付されていました。この添付ファイルが機密システムへのユーザー認証情報を入力するように仕向け、攻撃者は入力された認証情報を利用して、機密データにアクセスすることができます。

これらの攻撃は、ワクチンの低温保管と移送に関連する情報を入手するために行われたと考えられますが、その目的がプロセスを再現するためなのか、あるいはWHOのプロセスを直接妨害するためなのかは、わかっていません。

Acronis Cyber Protectは、情報窃取を目的とした悪意のあるWebサイトへのアクセスを防ぐURLフィルタリングを備えており、フィッシングメールからも完全に保護することができます。

# # #

アクロニスのサイバーセキュリティエキスパートがお届けする新たなサイバー脅威に関する最新情報を確認するには、アクロニスのYouTubeチャンネルに登録してください。CPOCからの最新情報を受け取ることができます。