サイバー脅威に関するAcronis CPOCの最新情報: 2021年3月1日の週

Cyberthreat update from Acronis CPOCs: Week of March 1, 2021

アクロニスでは常に、お客様のデータに対する危険を監視し、新たに発見された脆弱性への修正プログラムを適用し、お客様が安全でいられるように、警告や推奨事項を発しています。す私たちのグローバルネットワークであるAcronis Cyber Protectionオペレーションセンター(CPOC)は、最新のサイバー脅威をプロアクティブに検知し、それらを防ぐために、24時間体制で監視をしています。

この取り組みの一環として、大企業へのランサムウェア攻撃や、ビジネスアプリケーションのセキュリティ上の変更など、デジタル環境における最新の脅威情報を動画でお知らせする活動を行っています。最新のニュース速報と分析の一部を以下でご紹介します。

キアモーターズアメリカがDoppelPaymerのランサムウェア攻撃を受ける

韓国の自動車メーカーである起亜自動車の米国法人、キアモーターズアメリカ社が、DoppelPaymer(ドッペルペイマー)のランサムウェア攻撃を受けたのち、社内用システムや顧客用システムで大規模な動作停止が発生しました。

 

米国全土で955以上のディーラーを持ち、従業員数は3,000名以上、年間の収益は推定13億ドルというキアモーターズアメリカが価値の高いターゲットであることは疑いの余地もありません。今回の動作停止とランサムウェア攻撃について、その関連性を同社は否定しているものの、親会社であるヒュンダイモーターアメリカ(Hyundai Motor America)社に宛てた身代金メモがDoppelPaymerのリークサイトで公開されました。このメモによると、DoppelPaymerの犯人グループは身代金として404ビットコイン(現在の価値でおよそ2,000万ドル相当)を要求。支払いが迅速に行われなかった場合は、600ビットコインまでつり上げるとしています。

 

DoppelPaymerは、ランサムウェアの急速な成長傾向に追随するもので、データを暗号化して盗み出し、公に漏えいさせると脅迫して被害者に対してより優位に立とうとするものです。Acronis Cyber Protectは高度なヒューリスティックエンジンで、この手の悪意のある挙動を監視し、システムが暗号化される前に、既知および未知のランサムウェアをブロックします。

 

SingtelとJones DayがCL0Pの被害に

ファイル転送アプライアンスAccellion FTAに潜んでいた未知の脆弱性が攻撃者に悪用され、シンガポールの通信系複合企業であるシンガポールテレコム(Singtel)社や世界的な法律事務所であるジョーンズ・デイ(Jones Day)をはじめとした、約50社の企業データが漏えいしました。

 

Singtel社とJones Dayのいずれも、CL0P(クロップ)ランサムウェアグループによって、同グループの闇サイトで機密データが公開されました。Singtel社によると、12万9,000人分の顧客情報が盗まれ、その中には国が発行する身分証(NRIC)の番号も含まれていたそうです。今のところ盗まれたデータで公開されているのは、数名の従業員のクレジットカード情報のみとのことです。

 

CL0Pがこれらの企業に対し、直接不正アクセスを働いたのか、Accellionのデータ侵害は同グループの仕業なのか、データ漏えいの交渉役として別グループのために動いただけなのか、現在のところは分かっていません。いずれにせよ、この状況は、データ窃盗と二重の脅迫に重点を置くという、ランサムウェアグループの間で増えている手口の1つです。Acronis Cyber Protectは、AIを活用した動的ヒューリスティックでCL0Pランサムウェアを検知してブロックし、機密データの消失を防ぎます。
 

フランスの国家情報システムセキュリティ庁(ANSSI)がSandworm攻撃の原因を発見

フランスの国家情報システムセキュリティ庁(ANSSI)は先日、4年にわたって続いているある一連の攻撃について、Sandworm(サンドワーム)として知られているハッキンググループとの繋がりを見出しました。同グループは、国の支援を受けて活動しているエリートスパイグループです。この攻撃の入り口は、ITリソースの監視プラットフォームであるCentreonと見られます。ANSSIは、このソフトウェアの古いバージョンが原因で、WebシェルやExaramelというバックドアが、脆弱性のあるターゲットにインストールできるようになっていたことを発見しました。Sandwormは2000年代初頭から活動しているグループで、NotPetya(ノットペトヤ)というランサムウェアを作成したとして知られています。このランサムウェアはこれまでに、大手企業をターゲットに何十億ドルという損害をもたらしており、被害に遭った中には、ロシアの統合型エネルギー企業であるRosneft(ロスネフチ)社や、FedExの子会社であるTNT Express社、2018年平昌冬季オリンピック大会組織委員会なども含まれます。

Sandwormがこれらの攻撃に成功したのは、使用したツールが検知されなかったためです。Acronis Cyber Protectは組み込みの振る舞い検知エンジンで、悪意のある振る舞いを認識し、攻撃チェーンを停止します。
 

Microsoft社がバグがある更新プログラムの修正パッチをリリース

先ごろリリースした更新プログラムが原因で一部のユーザーで問題が起きていることを受けて、KB5001078とKB5001079という2つのサービススタック更新プログラムがMicrosoftより新たにリリースされました。

2月の月例パッチ「Patch Tuesday」には、KB4601392とKB4601390という更新プログラムが含まれていましたが、これらのプログラムには、累積更新プロセスが24%で停止し、以降のホットフィックスがインストールできなくなるというバグが含まれており、Windows 10(32ビット版と64ビット版の両方)のユーザーとWindows Server 2016が影響を受けました。月例パッチを正常にインストールさせるには、Microsoftの最新更新プログラムを先に適用する必要があります。バグが含まれる月例更新プログラムをすでに適用済みの場合は、影響のあるコンポーネントを手動で元の状態に戻す必要があります。Acronis Cyber Protectでは、パッチが適用される前にワークロード全体のバックアップを自動で作成できるため、更新に伴う問題が発生した場合は、問題のない状態に即座にロールバックできます。

SHAREitとAccellion、ファイル共有の脆弱性が浮き彫りに

先日、ファイル共有アプリケーションのSHAREitとAccellionで、セキュリティの脆弱性やセキュリティ侵害が話題となりました。

人気のAndroidプラットフォーム・SHAREitに、深刻な脆弱性が複数発見されました。このプラットフォームは、プライバシーや国家安全上の懸念があるとしてインドではすでに禁止されています。発見された脆弱性には、遠隔でのコード実行を可能にするものや、機密データの窃盗を可能にするものもあります。SHAREitはこれまでに、Google Playから合計で100万回以上インストールされています。

12月、米国カリフォルニア州パロアルトを拠点とするAccellionのファイル共有アプリでハッキングが発生。20億ドル以上の収益を誇る、米国大手で世界的な弁護士事務所のJones Dayや、シンガポールの通信系複合企業であるSingtel社も被害を受けました。Jones Dayは、攻撃者によってデータが盗まれたことを認めています。

Acronis Cyber File Cloudは豊富なモバイル機能を搭載した、高速で安全なデータ共有ソリューションです。アクロニスは、バグ報奨金プログラム「HackerOne」に積極的に関与し、SHAREitやAccellionで見つかったような脆弱性から確実に保護します。

# # #

アクロニスのサイバーセキュリティエキスパートがお届けする新たなサイバー脅威に関する最新情報を確認するには、アクロニスのYouTubeチャンネルに登録してください。CPOCからの最新情報を受け取ることができます。