システム侵入後、1時間で管理者権限を奪取──アルミダイカスト製品の鋳造などを手掛ける美濃工業(岐阜県中津川市)は11月3日、10月に受けたランサムウェア攻撃の被害状況について調査内容を発表した。被害にあって以降、これまで3度にわたって状況説明を続けていた同社。4報目となる今回の発表では、サイバー攻撃の概要を分刻みの時系列順で報告した。
美濃工業がランサムウェア被害にあったのは10月1日午後7時31分。攻撃者がID・パスワードの不正利用し、社員用VPNアカウント経由で社内ネットワークに侵入した。同日午後8時32分、攻撃者はシステム管理者のアカウント権限を悪用。システム侵入から約1時間後には管理者権限を奪い、4日午前4時45分までの約3日間、攻撃者に組織内の探索やクライアント端末を悪用し、データを窃取した。
探索中の攻撃者は3日午後8時58分、システムの破壊やファイル暗号化、サーバ初期化なども実行。4日午前1時21分には、身代金などを記した脅迫文を社内フォルダに保存した。
美濃工業がサイバー攻撃を検知したのは、4日午前2時25分のことだった。同日午前2時49分にはネットワークを切断、同日午前4時45分にVPNを切断。同日中に、警察や関係各所などへの連絡や一部システム復旧を開始し、8日に個人情報保護委員会に個人情報漏えいの可能性を報告した。
美濃工業へのサイバー攻撃を巡っては、ダークウェブ上でも概要が掲載され、同社は28日にこれを確認。情報漏えいした事実を公表した。漏えいした内容の調査を進めようとしたが、29日にはこのダークサイトが閉鎖に。詳細調査は進められていないが、フォレンジック調査の結果、「300GB程度の不正な通信容量を確認している」(同社)という。
美濃工業はサイバー攻撃を受け、対策として「EDR、振る舞い検知の新規導入」「より高度なアンチウイルスソフトによる、全サーバ、全端末のウイルススキャン」「全IDのパスワード変更」「VPN含む入口の全封鎖(現状早期再開の予定なし)」「外部とのアクセス制限(システムと切り離したクリーン端末にて接続)」「外部機関による詳細解析(フォレンジック調査)を継続中」などの施策を講じている。
「引き続き、当社は当犯罪行為に対し、安全宣言ができる環境整備に向けて全力で対策をとると共に、他団体様において同様の被害が減ることを願い、情報を展開してまいります」(美濃工業)
Copyright © ITmedia, Inc. All Rights Reserved.
アスクル、顧客情報などの一部漏えいを確認 ランサム被害受け
アスクルは10月31日、ランサムウェア感染によるシステム障害に関連し、保有する情報の一部が外部に流出したことを確認したと発表した。情報が悪用されるおそれもあるとして警戒を呼び掛けている。
アスクル、一部出荷業務を“手作業で再開” 医療機関や介護施設を優先 システム復旧はいまだ見通せず
アスクルは、ランサムウェア被害によって停止していた出荷業務を一部再開したと発表した。
アスクルのランサム被害、対応にLINEヤフーなども協力 対策本部は100人規模 物流システムへの影響大
アスクルは、10月19日に公表したランサムウェア感染によるシステム障害について、対応状況を発表した。22日現在、この案件に関する対策本部を設置。LINEヤフーなど外部セキュリティ企業のエンジニア約30人も協力し、対応に当たってる。
サイバー攻撃被害のアサヒ、流出疑いの情報がネット上に ランサム集団はリークサイトでの情報公開を主張
アサヒグループホールディングスが、9月に発表したサイバー攻撃の被害を巡り、同社から流出した疑いのある情報をインターネット上で確認したと発表した。同社を巡っては、ランサムウェアグループ「Qilin」が犯行声明を出していることや、同グループがダークウェブ上で窃取した情報のサンプルを公開したと主張していることが分かっている。
アサヒを襲ったランサムウェア集団“麒麟”(Qilin)とは? 世界中で被害多発、カルテル結成でさらに勢力拡大も
アサヒグループHDへのサイバー攻撃で一躍、日本でも知られるようになったランサムウェア集団「Qilin」。直前には別の有力ランサムウェア集団と組んで「カルテル」の結成を発表しており、攻撃の一層の激化が懸念されている。
