Week in review - 2024/05 week02
Week in reviewは、毎週の振り返りです。
ニュース情報などから今週気になったことなどに対し、その内容と所感を書いていきます。
対象期間
以下期間における週の振り返りです。
2024年05月05日 ~ 2024年05月11日
レポート内容
3 Topics
今週のニュースの中で、3つ特に注目したトピックを選びました。
それぞれ、以下に個別に書いていきます。
LockBitランサムウェアの管理者が特定され、米国、英国、オーストラリアで制裁を受ける
dailynewsの情報
米国、英国、オーストラリアがLockBitランサムウェアの管理者に制裁を課す
管理者はロシア人であるDmitry Yuryevich Khoroshevと特定
彼はランサムウェア活動で約1億ドルを稼ぎ出したと報告されている
現在、資産凍結と旅行禁止措置が課されている
彼の逮捕や有罪判決につながる情報には1,000万ドルの報酬が設定されている
所管
ここ最近でランサムウェア関連では最大のニュースの気がします。
これが出た後もウィチタシティへの攻撃などLockBitの活動はありますが、活動が継続できるのかは疑問符がつきますね。
今回のこの制裁で、LockBitランサムウェアグループはアメリカの制裁対象組織であり、ここに身代金とはいえ組織がお金を出すのは難しいのではないか(身代金を払った組織も共に制裁対象になりかねない)との指摘もあります。
ランサムウェア被害組織の多くはアメリカ企業ですからね。彼らが金銭目的のサイバー犯罪組織であり、身代金の回収が困難となれば運営は立ち行かない気がします。
ただし、LockBitが活動を停止したとしても、新たな名前に変えて(看板を変えて)再始動する可能性が高いと思います。
これをもってランサムウェアが下火になるとは言い難いと思っています。
サイバー保険請求の 56%はEメールの受信トレイから発生している – Coalition 調査
https://iototsecnews.jp/2024/04/25/56-of-cyber-insurance-claims-originate-in-the-email-inbox/
dailynewsの情報
サイバー保険会社である Coalitionが、2023年に報告された保険金支払いデータに基づくレポートを発行
サイバー保険の請求の大部分がメール詐欺に由来している
他にも、VPNやファイアウォールなどの境界デバイスの脆弱性を突いた攻撃によるサイバー賠償請求が増加。特にCisco ASA、Fortinetデバイスからの請求増
RDPポートをスキャンしている通信が2023年には59%増加。また、RDPポートをグローバルに公開している組織は平均よりも2.5倍も侵害される可能性が高い
ランサムウェア関連の保険請求は2023年の上半期に比べ下半期は減少した
振込詐欺およびビジネスメール詐欺の件数増加
所管
サイバー保険請求ということはつまりサイバー攻撃された時の請求であり、その大部分がメール詐欺というのは大きい話ですね。
BEC(ビジネスEメール詐欺)は、電話をかけてくるなどのソーシャルエンジニアリング攻撃が多く用いられるため、主戦場はやはり英語圏になるとは思います。その点では日本は対象から外れているためか、そこまで大きな脅威として注目はされていないですよね。
(IPAの10大脅威ではビジネスEメール詐欺は8位でしたねlink)
また、ランサムウェア関連の保険請求に関する記載が結構興味深いです。
"保険契約者が身代金の支払いが合理的かつ必要であると判断した場合、Coalition は保険契約者が要求額を平均 64% 削減する交渉を支援しました。"(機械翻訳), 引用元: https://www.helpnetsecurity.com/2024/04/25/cyber-claim-increase/
この辺り、アメリカではランサムウェアへの身代金支払いが一般にありうることというのがよくわかりますね。
これがいいか悪いかは文化の違いだと思いますが、日本の身代金支払いは社会的にまず許されないような風潮は結構特殊なのかと感じます。
ちなみに私は身代金支払いはなるべくしないようにするのが最善だと思いますし、支払うとしても最低限法執行機関への届け出を義務付けるべきという意見に賛成です。
Zscalerがテスト環境をオフラインに移行、侵害の噂後
dailynewsの情報
Zscaler、公開されていたテスト環境を発見し、フォレンジック分析のためオフラインにした
脅威アクター「IntelBroker」が、インターネット上で大手サイバーセキュリティ会社へのアクセスを売り出した後、このアクセスはZscalerのものであるとセキュリティリサーチャが主張していた
Zscalerは、インシデント対応会社と協力して調査を行っており、顧客や本番環境には影響を与えた情報は現在まで確認されていない
オフラインにしたテスト環境は隔離されており、Zscalerのインフラには接続しておらず、顧客や本番環境には影響を与えない
所管
あまりこの件に触れたいとは思わなかったのですが。
IntelBrokerは、Breach Forumsで企業名を挙げてなかったのにリサーチャがZscalerであると明言した流れになっていました。正直どうなんだろうか?という気がしました。
結果としてテスト環境への侵害はあったようですが。個別にZscalerに連絡して、対策ができた後に共同で声明を出すとかできなかったのかな、という気がします。
個人的にはあくまで隔離されたテスト環境への侵害というお話ですし、続報を見守りたいと思います。
other topics
Mirai BotnetがIvanti Connect Secureの欠陥を利用して悪意あるペイロードを配布
個人的にはMirai系は何でもスキャンしてペイロード送ってくるとはいえ、VPNサーバを狙うのは珍しいな、と思ったので取り上げました。
結局一番大事なのは、できる限り早くパッチをあてることですね。この件に限らず、POCなどが公開された脆弱性はすぐに自動化された攻撃が来ると想定するべきです。
北朝鮮のハッカー、新たなGolangマルウェア「Durian」を暗号通貨企業に対して使用
北朝鮮のAPTであるKimsukyによる新たな攻撃活動です。Andariel(Lazarusのサブグループ)とのつながりもみられたことは1つの特徴でしょうか。
ジョージア州立大学システム、2023年のMOVEit攻撃で80万人の情報が漏洩
まだまだClopのMOVEitの件は新しい被害者が見つかり続けますね。
その他
特になし
最後に
ここ最近、さぼり気味になってましたが、GWも終わりましたしまた頑張っていきましょう。