岡山県精神科医療センターにサイバー攻撃を仕掛けた犯人は何者か?窃取された情報はどこに流出したのか?
脅威インテリジェンスの勉強がてら記事を書いてみる。記載されている情報の悪用厳禁。
まずはpyokangoさんの情報を見て仮説を立てよう。
以上の記述を短くまとめる
2024年5月19日16時頃、岡山県精神科医療センターと東古松サンクト診療所にランサムウェアによる攻撃。攻撃によってデータが暗号化。両施設で運用している総合情報システムで障害発生。
翌20日、システム内に脅迫メッセージとその連絡先であるメールアドレスを記載したものを確認。
20日に県警に被害届を提出。6月7日に県警から個人情報流出を確認したと連絡があった。
「VPN機器の更新が行われていれば今回の被害を防げたかもしれない」と同センターの常務理事が発言したことが報じられた。
2023年6月に自治体病院の全国組織より同センターが利用しているVPN機器について、脆弱性が存在する機種に該当するとの連絡を受けていた。
考察と仮説
2023年6月12日(現地時間)、FORTINETのFortiOS、FortiProxyにおけるSSL-VPN機能の脆弱性CVE-2023-27997が公表?
CVE-2023-27997の分析とVolt Typhoonの攻撃活動に関する説明
悪用された銭弱性はこれではないっぽい?
こっちの記事のやつか?
犯人はランサムウェアギャング?情報は彼らの運営するリークサイトに掲載?
20日に被害届が出されていながら、情報流出を確認したとの連絡があったのは6月7日。この間は情報が閲覧できなかった?交渉決裂で7日にリーク?
Volt Typhoonはランサムウェア使ってないから対象外?関係ない?
www.popmc.jp ←DNSは2007/05/03からずっとこれが使われていたようだ。
ランサムウェアギャングと犯行内容の詳細が説明されているサイトを発見したので、サイト内検索をかけまくった。
どういった検索をかければ有効だろうか?
全く見当もつかないので思い当たる節のある単語を入力しまくってみた。
下記に羅列した単語はその例。↓
岡山県精神科医医療センター okayama medical center
Okayama County Psychiatric Center
County Psychiatric Center in okayama
総合情報システム Comprehensive information system
okayama
medical
popmc.jp
19/05/2024
~
07/06/2024
上記した単語はヒットしなかった
なんでだろうか。全然見つからん。
どうも手ごたえがなさすぎる。日系企業の被害がこれだけ網羅されているはずのサイトで、被害を受けたであろう岡山県精神医療センターの影すら見えないのは不自然だ。
今回の犯行は著名なランサムウェアギャングによるものではないのかもしれないのか?
ここで一つ円滑な作業のために仮説を立ててみる。
ここまで調べても情報が出てこないのは、著名なランサムウェアギャングによる犯行ではないためではなかろうか。もし情報が落ちているとしたら、ハッキングフォーラムの見つけずらい入り組んだスレッドの中ではなかろうか?
その証拠に下記の記事の記述の奇妙さをあげる。
※消えていたのでアーカイブで代用。
https://news.ntv.co.jp/category/society/rncee507428f1a49b4b8d5c8b7ffe0639c
実に奇妙な言い回しである。普通ランサムウェアで企業情報が流出したと書いて終わらせればいいところ、ダークウェブにあるから見られないとわざわざ書いている。これは記者が今回の事件の詳細を知っている警察かIT関係者と接触した際、ことの顛末を聞いてこれは普通の人じゃ見つけられないなと実感したことが記述に影響しているのではないか。
もう一つ奇妙な点がある。警察が被害届を受理し捜査を開始したのが5月20日であるにも関わらず、個人情報の流出を発見したのが6月7日であることである。警察のような人、金、物がそろっている権力でさえ、2週間以上かかっている。おそらく普段から怪しいフォーラム、サイトをマークしているはずの警察でさえ、こんなに時間がかかるのは普通なのだろうか?
以上のこと(ランサムウェアを使っているにも関わらず、ランサムウェアギャングの犯行を詳細に記したサイトに岡山の事件が載っていない。警察が捜査を開始したのが5月20日にもかかわらず、情報を発見したのが6月7日とタイムラグがある。)を鑑みると、流出した情報はダークウェブ上のフォーラムの入り組んだ場所に流れている可能性が高いとにらんでいる。
ただこの仮説にはいろいろと疑問符もつく。そもそもランサムウェアギャングはその犯行上、情報を人質にとって、金を出し抜くために一定の時間的猶予をターゲットに与えるものだ。警察が被害届提出と情報流出の発見にタイムラグがあるのは、ただ被害届が提出されたときに単純に情報がダークウェブ上に流されていないからだとも考えられる。警察は行政組織だから必要な手続きが重なって被害組織に報告が遅れた可能性もある。
う~んどうしようか。とりあえずダークウェブ上のフォーラムをあたってみるか。ダークウェブのフォーラムなんざ全くわからんな。どうしようか。
追記
手に入る情報で仮説を組み立ててはみたものの、袋小路に入った感じがして悩ましさを感じていたまさしくその時、有用な情報のアップデートが入ったので追記。
下記の記事を見てほしい。
これは三井物産セキュアディレクション株式会社が、ひと月一回程度の頻度で公表しているランサムウェアギャングに関する資料である。
今月6月号は5月にあったランサムウェアギャングによる攻撃を分析している。
ということは、岡山県の事例がランサムウェアギャングによるものだとすれば、この資料に被害が載っている可能性は高いはずである。
この一番上に記載された被害者とされている地方独立行政法人とは、岡山県精神科医療センターのことなのだろうか?
ただ岡山の事例は19日に発生している。時期的に下旬に近い。
5月にランサムウェアの被害にあった地方独立法人は岡山の事例以外はないっぽい。
その他の事例に関してはこのサイトで確認が取れた。
8baseが流出させた情報は5月27日に発生したことを確認したので時系列的にはこの記述通り。
ただこの岡山の事例がちょっとわからない。
でも5月にランサムウェアの被害受けた地方独立行政法人は岡山の事例しかないっぽい。
ただ私が勘違いしているだけか?
というか脅威主体誰なのかわかってない以上、いつ事件が発生したかもあいまいだから、MBSDの資料が正しいのか。
それにしても警察はよくこの流出情報見つけられるなあ・・・
単純に私の知見と技量が低すぎるだけか。
三井物産にわからんことはたぶん俺にはわからん。
何度も言うけどよく流出情報警察見つけたな。
やっぱ警察ってすごいかもしれんな。
これからダークウェブのフォーラムについても学習していきたい。
そう思ったのでした。
おわり
この記事が気に入ったらサポートをしてみませんか?