攻撃開始から暗号化までの3時間、ランサムウェア攻撃者は何をした?実録、高速ランサムウェア攻撃

ごく短時間で実施されるランサムウェア攻撃が発見された。調査によって、攻撃開始から終了までの攻撃者の行動が明らかにされた。攻撃者は3時間の間に何をしていたのか。

2021年11月24日 08時00分 公開
[Alex ScroxtonComputer Weekly]

 Sophosの脅威研究者が、驚くべき速さで攻撃する新種のランサムウェアを発見した。このランサムウェアはPython製で、「VMware ESXi」サーバと仮想マシン(VM)を標的とする。この組み合わせはあまり注意されていない可能性があるため、多くの環境に重大な脅威をもたらす恐れがある。

 多くのサイバー犯罪者は、被害者のシステム内を長期間動き回ってからランサムウェアをデプロイする。だが、今回発見されたランサムウェアはほんの数時間で「超高速」の「狙撃手のような」攻撃を仕掛ける。

 「Sophosがこれまで調査した中で最も高速なランサムウェア攻撃だ」と話すのは、Sophosのアンドリュー・ブラント氏(主任研究員)だ。同氏が調査したインシデントの中には、侵害から暗号化までわずか3時間しかかからなかったものがあった。

攻撃の実際:3時間の間に起きたこと

会員登録(無料)が必要です
iStock.com/ismagilov

 調査したケースでは、攻撃が始まったのは午前0時半だった。

 攻撃者は、その時点でシステムのユーザーのTeamViewerアカウントを手に入れている。このアカウントはドメインの管理権限と資格情報を持っていた。

 攻撃者がESXiサーバに狙いを定め、Famatechの「Advanced IP Scanner」を使って標的内を嗅ぎ回るのに10分もかからなかった。ESXiサーバはアクティブシェルプログラミングインタフェースを備えているため、脆弱(ぜいじゃく)である可能性が高い。

関連記事

特別編集ブックレット


 次に、攻撃者は管理者のPCにリモートアクセスツールの「Bitvise」をインストールした。これにより、VMの仮想ディスクファイルを含むESXiシステムへのアクセスが可能になる。そして午前3時40分、ランサムウェアがデプロイされてファイルが暗号化された。

 ブラント氏によると、このケースには攻撃者側にある程度幸運があったという。被害を受けたシステムのITチームが、サーバのシェルインタフェースの有効化/無効化を数回繰り返しており、攻撃を受けたときに偶然有効になっていた可能性がある。それで攻撃の実行がはるか容易になった。

 「パッチのインストールなどの定期メンテナンス時以外は『ESXi Shell』を無効化しておくべきだ。サーバコンソールのコントロールかソフトウェア管理ツールを使ってESXi Shellを無効化できる」

 ビジネスクリティカルなアプリケーションやサービスを実行している可能性がある複数のVMを一度に攻撃できることから、ESXiサーバはサイバー犯罪者にとって魅力的な標的だ。「ハイパーバイザーへの攻撃は、高速かつ非常に壊滅的になる恐れがある。DarkSideやREvilなどのランサムウェア攻撃活動はESXiサーバを攻撃の標的にしている」

 「ESXiなどのハイパーバイザーを運用する管理者は、セキュリティのベストプラクティスに従う必要がある。ブルートフォース攻撃が難しいパスワードの使用や多要素認証の強制的な適用などが含まれる」(ブラント氏)

 Sophosは、戦術、技法、手順(TTPs:Tactics, Techniques, and Procedures)などのランサムウェア関連資料を提供している。VMwareはESXiの保護に関するガイダンスを用意している。

Copyright © ITmedia, Inc. All Rights Reserved.

TechTargetジャパン トップ セキュリティ

新着ホワイトペーパー

市場調査・トレンド ゼットスケーラー株式会社

AIの悪用でフィッシング攻撃が巧妙化、今後の予測と防御方法を解説

今や誰もが入手可能となったフィッシングツール。そこにAIの悪用が加わり、フィッシング攻撃はますます巧妙化している。本資料では、20億件以上のフィッシングトランザクションから、フィッシング攻撃の動向や防御方法を解説する。

技術文書・技術解説 ServiceNow Japan合同会社

限られた人材でインシデントや脆弱性への対応を迅速化、その鍵となるのは?

セキュリティ対策チームの57%が人材不足の影響を受けているといわれる昨今、インシデントや脆弱性への対応の遅れが、多くの企業で問題視されている。その対策として有効なのが「自動化」だが、どのように採り入れればよいのだろうか。

製品資料 LRM株式会社

開封率から報告率重視へ、重要な指標をカバーする標的型攻撃メール訓練とは

年々増加する標的型攻撃メール。この対策として標的型攻撃メール訓練を実施している企業は多い。こうした訓練では一般に開封率で効果を測るが、実は開封率だけでは訓練の効果を十分に評価できない。評価となるポイントは報告率だ。

製品資料 LRM株式会社

新入社員の情報セキュリティ教育、伝えるべき内容と伝え方のポイントは?

従業員の情報セキュリティ教育は、サイバー攻撃や人的ミスによる情報漏えいから自社を守るためにも必要不可欠な取り組みだ。新入社員の教育を想定し、伝えるべき内容や伝える際のポイントを解説する。

製品資料 LRM株式会社

2024年発生のインシデントを解説、組織全体でのセキュリティ意識向上が不可欠に

2024年の情報漏えい事故の傾向では、攻撃者による大規模攻撃の他、社員や業務委託先のミス・内部犯行によるケースも多く見られた。インシデント別の要因と対策とともに、今後特に重要になるセキュリティ意識向上のポイントを解説する。

会員登録(無料)

8000点以上の技術資料や導入事例など、IT導入の課題解決に役立つ情報を入手できます。

From Informa TechTarget

いまさら聞けない「仮想デスクトップ」と「VDI」の違いとは

いまさら聞けない「仮想デスクトップ」と「VDI」の違いとは
遠隔のクライアント端末から、サーバにあるデスクトップ環境を利用できる仕組みである仮想デスクトップ(仮想PC画面)は便利だが、仕組みが複雑だ。仮想デスクトップの仕組みを基礎から確認しよう。

アクセスランキング

2025/05/11 UPDATE

  1. 「身代金を支払う」以外のランサムウェア対策は本当にあるのか?
  2. ゼロトラストの進化系? 「ゼロスタンディング特権」(ZSP)とは何か
  3. どれだけできている? まさかの「データ流出」を防ぐ“11個の要点”
  4. ランサムウェアの半数以上が“あの侵入経路”を悪用――見過ごされたリスクとは?
  5. 信頼していたWebサイトがまさかの感染源? 「水飲み場型攻撃」の手口とは
  6. Appleをだます“不正なiPhone修理”の手口と危険性
  7. ランサムウェア集団Black Bastaの会話が流出 明らかになった攻撃者の“本音”
  8. いまさら聞けない「DES」「AES」の違い より危険な暗号アルゴリズムは?
  9. 予算や人手不足でも諦めない「AIリスク管理」 2大フレームワークの活用法は?
  10. 法人向けウイルスバスターの後継「Apex One」 EDR機能を搭載

プレミアムコンテンツ

Windows 10「なぜか遅い」はあれが原因だった?

Windows 10「なぜか遅い」はあれが原因だった? ダウンロード
» プレミアムコンテンツライブラリへ

ITmedia マーケティング新着記事

news025.png

「マーケティングオートメーション」 国内売れ筋TOP10(2025年5月)
今週は、マーケティングオートメーション(MA)ツールの売れ筋TOP10を紹介します。

news014.png

「サイト内検索」&「ライブチャット」売れ筋TOP5(2025年4月)
今週は、サイト内検索ツールとライブチャットの国内売れ筋TOP5をそれぞれ紹介します。

news046.png

「ECプラットフォーム」売れ筋TOP10(2025年4月)
今週は、ECプラットフォーム製品(ECサイト構築ツール)の国内売れ筋TOP10を紹介します。

ログイン
会員登録
パスワード再設定
よくあるご質問
TechTargetジャパンとは
お問い合わせ
広告掲載について
利用規約
サイトマップ
初めての方