世界70か国以上の組織がGhostランサムウェアの被害に：米CISAらが注意喚起

nosa

2025.02.20

2月20日：サイバーセキュリティ関連ニュース

世界70か国以上の組織がGhostランサムウェアの被害に　米CISAとFBIの共同勧告で判明（CVE-2018-13379、CVE-2010-2861他）

BleepingComputer – February 19, 2025

米CISA、FBI、MS-ISAC（Multi-State Information Sharing and Analysis Center）が19日に共同勧告を発表し、中国を筆頭に世界70か国以上の組織がGhostランサムウェアによる攻撃を受けていることが明らかになった。

この攻撃は2021年初頭から始まり、重要インフラや医療、政府、教育、テクノロジー、製造など複数部門の組織と多くの中小企業に影響が及んでいると説明された。攻撃では古いバージョンのソフトウェアとファームウェアを使うネットワークを無差別に狙い、公開されているコードを利用して脆弱なサーバーの欠陥を悪用。Fortinet（CVE-2018-13379）、ColdFusion（CVE-2010-2861、CVE-2009-3960）、Exchange（CVE-2021-34473、CVE-2021-34523、CVE-2021-31207）のパッチが適用されていない脆弱性を突いているようだ。攻撃の動機は金銭獲得とされる。

Ghostランサムウェアのオペレーターはマルウェア実行ファイルを頻繁にローテーションし、暗号化されたファイルの拡張子も変更。さらに身代金要求の文面を変え、複数のメールアドレスを使って通信を行うため、時間の経過とともにグループの特定が難しくなるという。このランサムウェアはGhost、Cring、Crypt3r、Phantom、Strike、Hello、Wickrme、HsHarada、Raptureなどの別名でも知られるほか、攻撃ではCring.exe、Ghost.exe、ElysiumO.exe、Locker.exeといったランサムウェアサンプルが使われていると記された。

今回の共同勧告には、今年1月にFBIの捜査で特定されたGhostランサムウェアによる過去の活動に関連する侵害指標（IOC）や戦術・手法・手順（TTP）、検出方法も含まれている。

オランダ人の膨大な医療記録を含むHDDがベルギーのフリーマーケットで販売される

The Register – Wed 19 Feb 2025

オランダの放送局Omroep Brabantの報道により、膨大な医療データを含むハードディスクドライブ（HDD）が隣国ベルギーのフリーマーケットで販売されていたことが判明した。

このHDDを入手したのはオランダ南部のブレダに住む62歳のパソコンマニアで、写真やドローン映像を整理するために500GBのHDD5台を1台当たり5ユーロ（約800円）で購入。帰宅後に接続してみると、その中に15GBもの医療記録が入っていることに気付いたという。保存されていたのはオランダ人（主にユトレヒト、ハウテン、デルフトの住民）の社会保障番号や生年月日、自宅住所、投薬内容、その他の一般開業医や薬局のデータなど医療記録で、2011年から2019年のものまでがあったと説明されている。

その後、この男性は同じフリーマーケットで同じ人物から残り10台のHDDも購入。全15台のうち2台の中身を調べただけで、影響を受けたのはユトレヒトのある医療機関であることが推測されたと話している。さらにその医療機関に確認したところ、かつてブレダに拠点を置いていた医療ソフトウェア開発企業Nortade ICT Solutions（すでに倒産）から流出したデータであることがわかったようだ。

オランダの法律によると、医療データを含むHDDなどのストレージデバイスは専門業者によって消去されなければならず、消去認証も必要とされる。しかしそれには費用がかかるため、企業側がわずかな利益を求めてHDDを売却したのではないかとみられている。