ごく短時間で実施されるランサムウェア攻撃が発見された。調査によって、攻撃開始から終了までの攻撃者の行動が明らかにされた。攻撃者は3時間の間に何をしていたのか。
Sophosの脅威研究者が、驚くべき速さで攻撃する新種のランサムウェアを発見した。このランサムウェアはPython製で、「VMware ESXi」サーバと仮想マシン(VM)を標的とする。この組み合わせはあまり注意されていない可能性があるため、多くの環境に重大な脅威をもたらす恐れがある。
多くのサイバー犯罪者は、被害者のシステム内を長期間動き回ってからランサムウェアをデプロイする。だが、今回発見されたランサムウェアはほんの数時間で「超高速」の「狙撃手のような」攻撃を仕掛ける。
「Sophosがこれまで調査した中で最も高速なランサムウェア攻撃だ」と話すのは、Sophosのアンドリュー・ブラント氏(主任研究員)だ。同氏が調査したインシデントの中には、侵害から暗号化までわずか3時間しかかからなかったものがあった。
調査したケースでは、攻撃が始まったのは午前0時半だった。
攻撃者は、その時点でシステムのユーザーのTeamViewerアカウントを手に入れている。このアカウントはドメインの管理権限と資格情報を持っていた。
攻撃者がESXiサーバに狙いを定め、Famatechの「Advanced IP Scanner」を使って標的内を嗅ぎ回るのに10分もかからなかった。ESXiサーバはアクティブシェルプログラミングインタフェースを備えているため、脆弱(ぜいじゃく)である可能性が高い。
次に、攻撃者は管理者のPCにリモートアクセスツールの「Bitvise」をインストールした。これにより、VMの仮想ディスクファイルを含むESXiシステムへのアクセスが可能になる。そして午前3時40分、ランサムウェアがデプロイされてファイルが暗号化された。
ブラント氏によると、このケースには攻撃者側にある程度幸運があったという。被害を受けたシステムのITチームが、サーバのシェルインタフェースの有効化/無効化を数回繰り返しており、攻撃を受けたときに偶然有効になっていた可能性がある。それで攻撃の実行がはるか容易になった。
「パッチのインストールなどの定期メンテナンス時以外は『ESXi Shell』を無効化しておくべきだ。サーバコンソールのコントロールかソフトウェア管理ツールを使ってESXi Shellを無効化できる」
ビジネスクリティカルなアプリケーションやサービスを実行している可能性がある複数のVMを一度に攻撃できることから、ESXiサーバはサイバー犯罪者にとって魅力的な標的だ。「ハイパーバイザーへの攻撃は、高速かつ非常に壊滅的になる恐れがある。DarkSideやREvilなどのランサムウェア攻撃活動はESXiサーバを攻撃の標的にしている」
「ESXiなどのハイパーバイザーを運用する管理者は、セキュリティのベストプラクティスに従う必要がある。ブルートフォース攻撃が難しいパスワードの使用や多要素認証の強制的な適用などが含まれる」(ブラント氏)
Sophosは、戦術、技法、手順(TTPs:Tactics, Techniques, and Procedures)などのランサムウェア関連資料を提供している。VMwareはESXiの保護に関するガイダンスを用意している。
Copyright © ITmedia, Inc. All Rights Reserved.
お知らせ
米国TechTarget Inc.とInforma Techデジタル事業が業務提携したことが発表されました。TechTargetジャパンは従来どおり、アイティメディア(株)が運営を継続します。これからも日本企業のIT選定に役立つ情報を提供してまいります。
ブランドリスクの要因は「トランプ大統領」 どうするCMO――2025年のマーケティング予測10選【後編】
2025年はCMOの役割と課題が大きく変化すると予想される。具体的には何が起こるのか。「Ma...
AIはGoogleの地位を揺るがしているのか? Domoが年次レポートを公開
Domoの年次レポート「Data Never Sleeps」は、インターネット上で1分間ごとに起きている...
3500ブランドの市場・生活者データでマーケターのアイデア発想を支援 マクロミル「Coreka」でできること
マクロミルが創業25年で培ったリサーチや分析ノウハウを結集し、アイディエーションプラ...