cles::blog

国分生協病院のランサムウェア被害の報告にちょっと衝撃的なことが書いてあったのでメモ。
認証無しのリモートデスクトップってあまり聞いたことがないですが、普通に設定可能だったんでしたっけ？

「画像管理サーバー」の障害発生について – 国分生協病院

画像管理サーバーを外部から保守するためのインターネット経由でシステム業者と接続できる回線がありますが、この接点となる病院内設置のネットワーク機器で、外部から認証なしで病院内のコンピュータにリモートデスクトップ接続が可能という設定が存在しました。また、画像管理サーバーにはウイルス対策ソフトが設定されていなかったため、暗号化ウイルスの稼働を許し、被害に至りました。

マルウェアなどを作成させることができる生成 AI がネットに公開されていることがニュースになっていました。

これまで専門知識が必要なソフトウェア等の作成はエンジニアにしかできなかったわけですが、一般的なソフトウェアだけでなくこういう犯罪に関するソフトウェアもどんどんコモディティ化していってしまうことにちょっと危機感を覚えます。冷静に考えれば犯罪用のソフトウェアもプログラムには変わりないですからね。

犯罪に利用できる生成ＡＩ、ネットに複数公開…ランサムウェア・爆発物の作り方など回答 : 読売新聞

コンピューターウイルスや詐欺メール、爆発物の作成など犯罪に悪用できる情報を無制限に回答する生成ＡＩ（人工知能）がインターネット上に複数公開されている。既存の生成ＡＩに、不正行為に関わる情報を学習させたものとみられる。誰でも指示をすればこうした情報を入手できるため、悪用される懸念が高まっている。

大阪急性期・総合医療センターのインシデント報告書が公開されていたのでメモ。
昨年の 10 月にサイバー攻撃で電子カルテシステムがダウンして大騒ぎになっていたものですね。

• 情報セキュリティインシデント調査委員会報告書について | 地方独立行政法人大阪府立病院機構 大阪急性期・総合医療センター

報告書は 75 ページあるので、なかなか読み応えがあります。

サーバなどで共通の ID とパスワードが使い回されていたり、脆弱性に対するアップデートが行われていなかった VPN 装置が侵入経路になってしまっていたりと、なかなかずさんな IT 管理だったことが分かります。これに伴う損害は調査復旧で数億円以上、診療制限の逸失利益として十数億円以上と、とんでもない代償を払うことになりました。

復旧額が嵩んだのは、基幹システムサーバーの大部分がランサムウェアにより暗号化されたり、院内の約 2,200 台の PC に不正アクセスの痕跡があったため、これらの全てをクリーンインストールことになったことが大きかったようです。内部でこれだけ大規模にマルウェアが横展開されるという事例も珍しいですね。これにより基幹システム再稼働に 43 日間、全体の診療システム復旧に73 日間を要するなど目も当てられない状況になってしまったようです。

「医療機関は閉域網だからセキュリティは問題ない」といった誤った閉域網神話の中で、セキュリティに関する意識が薄れていたのが原因としてあげられていますが、世の中的に IT システムにきちんとお金をかけたり内部で人材育成をするための体制が足りていないんですよね。

† 参考

• 大阪急性期・総合医療センターへのランサムウェア攻撃に関する報告書「誤った閉域網神話によるセキュリティ意識の薄れ」指摘 | ScanNetSecurity

JPCERT/CC が VMware ESXi を狙ったランサムウェアが発生していることについて注意喚起していたのでメモ。
NISC も重要インフラグループが VMware ESXiの深刻な脆弱性(CVE-2021-21974)について(注意喚起）という文書を発出しているようです。

僕もたくさん ESXi を運用していますが、とりあえずハイパーバイザーには Public IP を振ったり NAT をかけているものはないのでひとまず問題ないと思われますが、ハイパーバイザー周りのネットワーク設定ついて今一度見直しておく必要がありそうです。

VMware ESXiを標的としたランサムウェア攻撃について

2023年2月3日（現地時間）より、VMware ESXiが稼働するサーバーを標的としたランサムウェア攻撃に関する情報が仏CERT-FRやOVHcloud、BleepingComputerなどから公開されています。同製品の既知のOpenSLPのヒープオーバーフローの脆弱性（CVE-2021-21974）を悪用した攻撃とみられ、攻撃を受けるとファイルが暗号化され身代金の支払いを求めるメッセージが残されます。

† 参考

• VMware Security Response Center (vSRC) Response to 'ESXiArgs' Ransomware Attacks - VMware Security Blog - VMware
• NVD - CVE-2021-21974
• [MàJ] Campagne d’exploitation d’une vulnérabilité affectant VMware ESXi – CERT-FR
• 「VMware ESXi」上で事前認証によるリモートコード実行を行う脆弱性の解説

† 2023/02/26 追記

米 CISA がリカバリツールを公開していました。

• ESXiArgs Ransomware Virtual Machine Recovery Guidance | CISA
• cisagov/ESXiArgs-Recover: A tool to recover from ESXiArgs ransomware

NEC のセキュリティブログに日本の実在の大学を詐称するウィルス付きメールが紹介されています。
昨日のものは大学等の研究機関が標的でしたが、今日のものは発信者が大学を騙るものです。

日本の大学を詐称する日本語で書かれたばらまき型メールの解析: NECセキュリティブログ | NEC

日本の大学を詐称するばらまき型メールは2022年7月末から定期的に確認されています。直近では10月28日にも確認されており、NECでも当該ばらまき型メールを検知しています。今回はメール添付ファイルを開いた際に発生しうる影響や通信先について調査した結果について紹介します。今後も類似のメールがばらまかれることも予想されるため、攻撃に対する調査等に役立てば幸いです。

† メール的には平凡だけど、マルウェア解析手法の解説は丁寧

サンプルを見ると分かりますが、メールの文章からして明らかに怪しいので、これに騙される人は少ないとは思います。

ただ、このエントリのマルウェアの解析手法は丁寧に解説されていて興味深いです。
結論から言えば、このメールの添付ファイルは Lokibot^*1 というよく知られたマルウェアなのですが、きちんと検体である怪しい Office から内容を解析・ダンプし、難読化をかいくぐり、3DES で暗号化された内容を復号して、不正接続先を突き止めているので、読み応えがあります。

ファイルの解析するのに使われている oletools などの使い方は覚えておくと役立ちそうですね。

• GitHub - decalage2/oletools: oletools - python tools to analyze MS OLE2 files (Structured Storage, Compound File Binary Format) and MS Office documents, for malware analysis, forensics and debugging.
• oletools - python tools to analyze OLE and MS Office files | Decalage

• ^*1: LokiBot Malware | CISA

学術関係者を標的としたサイバー攻撃について警察庁と NISC が注意喚起をしています。

それにしては周りでもあまりそういう話は聞かないな・・・と思って調べてみたら、安全保障、国際政治、経済、エネルギーなどを専門とする人が狙われている^*1*2ようです。分野的に考えると、いずれかの国家が関与している諜報活動の一環と考えるのが妥当なところでしょうか。国家主導型のサイバー攻撃（諜報活動）の場合だと、単純な経済犯罪と違って費用対効果の考え方が効かないことがあり、攻撃者に対してある程度コストがかかるような施策をしたとしても攻撃にさらされ続けるというのが非常に厄介です。そのような分野の教員を抱えている大学は頭がいたいでしょうね。

学術関係者・シンクタンク研究員等を標的としたサイバー攻撃について（注意喚起）（警察庁サイバー警察局、内閣サイバーセキュリティセンター）

近年、日本国内の学術関係者、シンクタンク研究員、報道関係者等に対し、講演依頼や取材依頼等を装ったメールをやりとりする中で不正なプログラム(マルウェア)を実行させ、当該人物のやりとりするメールやコンピュータ内のファイルの内容の窃取を試みるサイバー攻撃が多数確認されています。

† 参考

• 学術関係者・シンクタンク研究員等を標的としたサイバー攻撃について（注意喚起）｜警察庁Webサイト
• 標的型サイバー攻撃、不審メールにご注意ください！

• ^*1: 学者らサイバー攻撃数十件　３年間、安全保障分野標的 - 産経ニュース
• ^*2: 大学教授らにサイバー攻撃数十件　１９年以降、安全保障など専門―情報窃取目的か、警察庁が注意喚起：時事ドットコム

金融庁、警察庁、内閣サイバーセキュリティセンターが共同で Lazarus（ラザルス） について注意喚起を行っていたのでメモ。
Lazarus は北朝鮮と関連があると言われているサイバー犯罪グループですね。

国がこういう情報を一般に向けて公表するということは何か明確な攻撃兆候があるとみて間違いないと思います。
特にソーシャルエンジニアリングは防御が難しいので、企業にとっては頭が痛い問題になりそうです。

北朝鮮当局の下部組織とされるラザルスと呼称されるサイバー攻撃グループによる暗号資産関連事業者等を標的としたサイバー攻撃について（注意喚起）

このサイバー攻撃グループは、
・ 標的企業の幹部を装ったフィッシング・メールを従業員に送る
・ 虚偽のアカウントを用いた SNS を通じて、取引を装って標的企業の従業員に接近する
などにより、マルウェアをダウンロードさせ、そのマルウェアを足がかりにして被害者のネットワークへアクセスする、いわゆるソーシャルエンジニアリングを手口として使うことが確認されています。

復活した EMOTET が国内で猛威を振るっていることがトレンドマイクロのブログで解説されていました。

EMOTET は一度制圧されたものの 2 月頃から復活していて、その後もちょくちょく被害の報道を目にするので気になっていたのですが、2022 年第 1 四半期は日本での検出が最多だったとのこと。具体的な検出数で見てみると国内での検出数が 42,592 件に対して北米地域は 1,381 件ですから、ぶっちぎりです。

国内には何かターゲットになったり、増殖する下地になったりするようなものがあるんでしょうか。

復活したEMOTETの脅威動向解説：2022年第1四半期は日本での検出が最多 トレンドマイクロ セキュリティブログ

トレンドマイクロの観測では、EMOTETの感染被害の多くは日本国内で確認されており、次いで「アジア太平洋地域（APAC）」、「ヨーロッパ、中東、およびアフリカ（EMEA）」地域の国々でした（図1）。図2に示す通りEMOTETの背後にいるオペレータは、製造 / 教育業界などの攻撃者にとって収益性の高い業界を狙って衆目を集めることで、自身の提供するMaaSを利用したいと考える潜在顧客を増やした可能性があります。

JPCERT/CC がリリースしている EmoCheck の新しいバージョンがリリースされていたのでメモ。
バージョンアップしているということは依然として Emotet の新しい亜種が出ているということなんですよね。

† 参考

• Releases · JPCERTCC/EmoCheck
• マルウェアEmotetの感染再拡大に関する注意喚起

JPCERT/CC が配布している Emotet 感染有無の確認を行うツール「EmoCheck」が v2.2 になっていたのでメモ。
年明けからの活動再開＆感染再拡大で変種も登場しているので、こちらも追随しているようです。

Releases · JPCERTCC/EmoCheck

v2.2
added support the April 2022 updated of Emotet