ニコニコ動画のサイバー攻撃について考察

大昔に情報システムにいたものとして、考察してみる。

まず状況判断すると内部犯行である。
執拗な攻撃、シャットダウンしたサーバをリモート起動など、状況を確認しながら犯行を行っている。

犯人は1人から3人程度の少数。自律型コンピュータウィルスを使用せず、ランサムウェアで特定のサーバを暗号化させていると思われる。

ドメインコントローラーを乗っ取り、管理者権限を剥奪、ドメインコントローラーへアクセスできなくして犯行に及んでいる。

使用したのはpowershellとタスクスケジューラぐらいか、闇サイトからランサムウェアは入手している。

復旧はどうするか
ネットワークから外した状態でドメインコントローラーのＯＳイメージを復元、administratorsグループの登録ユーザのパスワードを変更、ローカル管理者権限ユーザのパスワード変更をする。

加えて、サーバへglasswireなどのネットワーク監視ツールをいれて、アクセスするユーザの把握、及びセキュリティ監査設定でアクセスログ監視が必要。

社内犯行の場合は、ドメインコントローラーがまず狙われる、再起動を含むメンテナンスは必ず社員が行うことである。

暗号化されたデーターは復元をあきらめてバックアップから戻す。ファイルサーバのＯＳもイメージから復元する。

念の為ウィルススキャンの上、ＯＳへパッチをあてる。

ここまでできてからネットワークをつなぐ。

ただ気になるのはランサムウェアがワクチンソフトで検出されてないこと。最新のものか、それとも、ワクチンソフトが無効化されたかである。

犯人は怨恨が動機の可能性が高く、捕まるのを承知の上でやっている。

まあ事前にテストをして痕跡は残している。
拡張子がps1のファイルがクライアントＰＣに残ってないか確認が必要。

再度の襲来は可能性が低い。そのうち犯人は捕まるだろう。