次々起きる、国内ランサムウェア被害, 7/10版

今年になって日本でもランサムウェア被害が激増しています。今日も新たにニュースがありました。　以前にも記事をご紹介しましたが、昨年暮れから今年前半にかけて、海外の情報サイトで警告されていた通りになった形です。

攻撃された企業を責める論調もネットでは散見されますが、それよりも国内外で専門家が警告しているのにTVなど大手メディアできちんと解説、報道しない相変わらずのデジタル音痴＆知らないことは存在しない、みたいなメディアの態度に疑問を感じています。広告主の不祥事だから関わりたくない、っていうのもあるのでしょうが漏洩される一般庶民はたまったものではありません。

東京海上日動の委託先、6.3万件の情報漏洩　名前や住所

東京海上日動火災保険は10日、業務委託先のサーバーがランサムウエア（身代金要求型ウイルス）に感染し、同社を含むグループ会社の計約6万3200件の個人情報が外部に漏洩した恐れがあると発表した。保険契約者の名前や住所、電話番号、グループ会社の社員情報などが含まれる。

東京海上日動火災保険の委託先、6.3万件の情報漏洩　名前や住所 - 日本経済新聞

ランサムウェア被害 /  髙野総合会計事務所

6月4日（火）夜に税理士法人髙野総合会計事務所、髙野総合コンサルティング株式会社及び監査法人TSK（以下、当グループとします。）のデータ管理サーバにおいて発生したアラートを契機に、速やかに当該データサーバの隔離および当グループネットワークのインターネット遮断を実施し、委託業者（※１）による調査を行ったところ、6月6日（木）夜にランサムウェアによる被害が発生していることを確認しました。

不正アクセスに先立つ5月26日（日）に行われた当グループのインターネット接続点に設置する通信機器の更新作業において、委託業者が通信機器の設定を誤った結果、当グループのデータサーバに不正アクセスできる状態であったこと

ランサムウェア被害発生についてのお知らせ（第２報）｜高野総合会計事務所

オリンパスグループ が標的に

メデューサと呼ばれるランサムウェアグループがオリンパスグループへの攻撃を主張。
オリンパス グループ (1893 年設立) - カスタム印刷および縫製業界でサービスを提供し、大判デジタル印刷および昇華印刷を専門としています。オリンパス グループの本社は、米国ウィスコンシン州ミルウォーキーの 9000 W Heather Ave、53224 にあり、従業員数は 254 人です。漏洩したデータの総量は 436.9 GB です。

https://www.reddit.com/r/Ransomfeed/comments/1dxh83t/olympusgroup/

富士通の社内パソコン４９台がマルウェア感染、顧客の業務情報など流出の可能性

　富士通は９日、社内の業務用パソコンがマルウェア（悪意あるプログラム）に感染し、個人情報や顧客の業務に関する情報が流出した可能性があると発表した。流出件数や顧客の業種などは明らかにしていない。９日時点で悪用された事例は確認されていないという。

富士通の社内パソコン４９台がマルウェア感染、顧客の業務情報など流出の可能性

富士通の過去の被害の調査結果報告

本事案については、既に以下の施策を実施しております。
（1）不審な挙動を感知後、被害の疑いがあるすべての業務パソコンを社内ネットワーク環境から隔離、初期化。
（2）攻撃者が利用する侵入元の外部サーバとの接続を遮断。
（3）今回のマルウェアによる攻撃方法の特徴をパターン化し、社内のすべての業務パソコンに対しセキュリティ監視ルールを実装

ということですが、3月15日の発表はとだけあり、具体的にいつからいつまでダダ漏れだったのかとか、詳しい説明がありませんでした。

当社の複数の業務パソコンでマルウェアの存在を確認し、社内調査の結果、個人情報やお客様に関する情報を含むファイルを不正に持ち出すことができる状態になっていたことが判明しました。

個人情報を含む情報漏えいのおそれについて（調査結果） : 富士通

ただ、富士通ってマルウェアソリューションを販売している会社でもあるので、個々の製品を使う会社の名簿が流失したりすると厄介なんじゃ。。。とか思ってしまいます。東芝のプリンターの件もそうでしたが、日本は利用者が自分でセキュリティーパッチを当てるのではなく、営業マンや保守の人がやるアナログ方式だったりする印象。。。金儲けのためにゆっくりやっているのではないことを祈るばかりです。

マルウェア対策

富士通関連のインシデントで調べるとパスワードを変更できてしまう脆弱性とか、いくつかでてきました。

Fujitsu Arconte Áurea バージョン 1.5.0.0 のパスワード回復メカニズムに脆弱性があり、これを悪用すると、攻撃者が電子メールで送信された PIN 番号に対してブルート フォース攻撃を実行し、正当なユーザーのパスワードを変更できる可能性があります。

NVD - CVE-2023-4096

ID Link Manager および FUJITSU Software TIME CREATOR には、重要な機能に対する認証が欠落している脆弱性が存在します。この脆弱性が悪用されると、認証されたリモートの攻撃者によって機密情報が取得されたり、データベースに保存されている情報が改ざんされたりする可能性があります。

CVE Website

説明責任とかではなくて、他で同じ被害が出ないように迅速にわかりやすく情報公開して欲しい、と思いました。それを飯の種にしているからやりたくないのかもですが。。。

そんな中、朗報も！

はじめての国内お手柄だそうで、おめでとうございます。
ハイテク犯罪の逮捕はこれまで冤罪も多いので、警察庁の間違いでないことを祈っています。自分はこの分野の専門家ではないので軽々しく言えませんが、冤罪が起きる背景の１つとしてウィルス感染した機器を経由してほかを攻撃する「踏み台」の構造がありそうです。

詳細は↓

ネットバンキング悪用の不正送金グループ首謀者か 容疑者逮捕 | NHK

ネットバンキングを悪用した不正送金のグループの首謀者とみられ、合同捜査本部は矢野容疑者がすでに逮捕されている9人を含むグループのほかのメンバーに指示して口座の残高などの情報を入手させたり、送金先の暗号資産の口座を作らせたりして不正送金を繰り返していたとみています。

新手の手口！頻繁に電話をかけて被害者に支払いを迫る

「Volcano Demon」と呼ばれるこのランサムウェアグループは、6 月の最後の 2 週間にわたって活動しており、すでに複数の攻撃を開始していると報告されています。Volcano Demon は、被害者の .nba 拡張子のファイルを暗号化する LukaLocker と呼ばれるランサムウェアの亜種を使用していることが確認されています。

日本語がマイナーなので若干遠い問題な感じはしますが、これ自体は恐ろしい手口です。AIで音声や動画が作れる時代なので、

情報漏洩→自動でAIが電話やメールで恐喝　といった無差別攻撃が問題になる日はそう遠くなさそうです。

New ransomware group 'Volcano Demon' uses direct phone calls to pressure victims - SiliconANGLE

おまけ：

Biffalo wifiルーター脆弱性のニュース

機器を経由してほかを攻撃する踏み台にされる恐れがあるそう。

一部Wi-Fiルーター商品における複数の脆弱性とその対処方法(JVN#58236836)