Analyst’s Choice
「アナリスト・チョイス」では、弊社インテリジェンスアナリストが注目の記事をピックアップし、そこで取り上げられた脆弱性やマルウェアなどの脅威情報に対する洞察・ソリューションなどをコメントしています。
アナリスト:
(Intelligence Architect @Machina Record)
Articles
Article.1
データ窃盗・恐喝用の新マーケットプレイス「Marketo」「File Leaks」
Article.2
コロニアル・パイプラインが「DarkSide」ランサムウェアの攻撃受ける
Article.1
データ窃盗・恐喝用の新マーケットプレイス「Marketo」「File Leaks」
▼BleepingComputerは、「Marketo」および「File Leaks」と呼ばれる、2021年4月に立ち上げられた2つの新たなマーケットプレイスを特定しました。これらはデータ窃盗・恐喝だけのためのものと見られます。これより古い「Dark Leak Market」と呼ばれるマーケットプレイスは2019年に初めて作成されました。このサイトは、ランサムウェアグループのリークサイトや「RaidForums」のようなハッキングフォーラムからデータを収集し、販売しています。
▼「Marketo」を運営する脅威アクターは、自身の新しいウェブサイト、つまり企業に関する情報を売買するためのマーケットプレイスを宣伝するため、ジャーナリストやセキュリティ研究者に接触しました。この脅威アクターは、自身ではいずれの企業のハッキングも行なっていないと述べ、ランサムウェアには反対しており、そういった脅威アクターとは提携していないと主張しました。しかしBleepingComputerは、最近ランサムウェア攻撃で標的になった自動車ディーラーの事例のように、ランサムウェア攻撃に由来するデータが同サイト上にホストされている可能性がある、と指摘しました。
▼「File Leaks」は盗み取られたファイルを一度に全てダンプし、被害者に対してそれを削除するための支払いを要求します。現在のところ、2者の被害者のみが掲載されており、一方はイタリアの、もう一方はインドの被害者です。
Analyst’s Comments
影響範囲
全ての企業が標的となる可能性がありますが、脅威アクターは自身の取り組みに見合う最高額の儲けを得ようとしています。そのため、脅威アクターの関心は多額の身代金を支払う財政的能力があると考えられる業界や企業に集中するでしょう。
見解
上記のような新しいダークウェブ上のマーケットサイトは、他のサイトが当局によって閉鎖される中でも発生しています。当局が新たなトレントウェブサイトを完全に阻むことができなかったことと同様に、こういったサイトが実質的に減少させられる可能性は低いです。
これはまた、データ窃盗・恐喝が横行しているということをも意味しています。新たな専門マーケットとそれに関する情報サイトが発生する中、将来さらに多くの脅威アクターが間違いなくこういった類の攻撃を試みるでしょう。
緩和戦略
◆包括的なデータバックアップ計画を整備しましょう。これには、複数のオンラインバックアップコピーを別個の安全な場所に保管し、定期的にテストすることが含まれます。
◆身代金を支払わないでください。脅威アクターを調子づかせるだけです。また、支払っても、盗まれたデータがまだコピーあるいは販売されていないことが保証されるわけではないため、別の場所にそのデータが出現する可能性があります。
Article.2
コロニアル・パイプラインが「DarkSide」ランサムウェアの攻撃受ける
▼2021年5月6日、「DarkSide」ランサムウェアの攻撃者がコロニアル・パイプラインのネットワークに侵入して100GBのデータを盗み、続いて翌日にはファイルを暗号化しました。同企業はこの攻撃の後、特定のシステムをオフラインにしたと述べました。これらの行動により、この企業のITシステムの一部が影響を受け、全てのパイプライン操業が停止しました。
▼コロニアル・パイプラインは米国東海岸のガソリン、ジェット燃料、そしてディーゼル燃料の供給量の45%を輸送しています。2021年5月9日時点では主要ライン4つ全てがオフラインでしたが、より規模の小さな一部の側線は使用可能でした。この攻撃により、米国運輸省は車道経由で運搬される燃料に対する規制を緩和する緊急法令の発表を迫られました。
▼Digital Shadows社のJames Chappell氏は、攻撃者はリモートデスクトップ・ソフトウェアのアカウントログイン情報を購入することにより攻撃を実行したのだと思う、とBBCに伝えました。
情報源:
1. https://www.bbc.com/news/business-57050690
Analyst’s Comments
影響範囲
米国のインフラ企業であるコロニアル・パイプライン。ただし、どの企業もこの脅威アクターによるリスクに晒されています。
見解
「Darkside」ランサムウェアの背後にいる脅威アクターがその後自ら声明を出し、このインシデントに政治的意図はなく、また、自身は政治的な協力関係を有してもいないと述べました。同アクターの目的は金儲けだけということです。このグループの以前の被害者から考えると、政府あるいは政府関連組織に対する攻撃のパターンは存在していないものと思われるため、上記の内容はおそらく事実です。
しかし今回のインシデントは、同グループが政治的なインシデントを引き起こす意向を持たないかもしれないものの、政府関連組織(特に要求された身代金を支払うのに十分な財力がありそうな組織)を遠慮なく狙うだろうということを示しています。
緩和戦略
◆包括的なデータバックアップ計画を整備しましょう。これには、複数のオンラインバックアップコピーを別個の安全な場所に保管し、定期的にテストすることが含まれます。
◆インシデントレスポンスおよび業務継続計画書(COOPs)を作成・維持・更新し、テストしましょう。COOPsは、オンラインシステムが利用不可になった際の重要サービスの提供について説明するものです。
◆ファイアウォールが有効になっていて、適切に設定されており、監視されていることを確認しましょう。
◆未使用のポートとサービス(リモートデスクトッププロトコル[RDP]やその他のリモートサービスを含む)を閉じましょう。
◆権限のない脅威アクターがネットワークからデータを抜き取って公にリリースするのを防ぐために、保存ネットワークデータと転送中のネットワークデータ(特に、慎重に扱うべきで、なおかつ/または保護されているもの)を暗号化してください。
◆異常な/疑わしいアウトバウンドデータ転送を監視してください。これは、ランサムウェア感染に先立って起こる場合があるデータ抽出を示唆している可能性があります。
◆全てのユーザーアカウントに対して(特に権限が昇格されているアカウントに対して)、多要素認証を要求しましょう。
◆全てのハードウェアとソフトウェア(アンチウイルス/アンチマルウェアを含む)を、最新のパッチレベルへとアップデートされた状態に保ちましょう。
◆ユーザーのサイバー脅威意識向上トレーニングとフィッシングシミュレーションを実施しましょう。
Writer