タグ: サイバー攻撃

ランサムウェアを含む大規模なサイバー攻撃を受けたことを公表したKADOKAWA。今も混乱は続いているようで、特設ポータルサイトで6/22、「一部報道について」を公表しました。NewsPicksが報じた、「ハッカーが要求する『身代金』の全容」という記事に対するもののようです。

NewsPicks（ニューズピックス）

NewsPicks（ニューズピックス）は、日本のソーシャル型オンライン経済メディア、ニュースサイトで、創業は2015年4月なんだそう。株式会社ニューズピックス（株式会社ユーザベースのグループ会社）が運営しています。ユーザベースは昨年上場廃止となった企業ですね。

記事の概要

記事では、「KADOKAWAは既に取締役会の決議を経ることなく身代金を払ったものの、犯人が追加の身代金を要求している」といったことが書かれているようです。問題はNewsPicksのこの記事の情報源が犯人側だということのようです。確かに犯人の主張により事実かどうかも分からず記事にされたんじゃたまりません。

KADOKAWAは「一部報道について」の中で、「サイバー攻撃を助長させかねない報道であり強く抗議するとともに、損害賠償を含めた法的措置の検討を進める」としています。が、ちょっと引っ掛かるのがこの抗議文の中で、身代金支払いの事実については否定していないんですね。身代金支払い自体が犯罪を助長するだけですし、矛盾した主張に見えてしまいます。本当に支払っちゃたんだろうか？

株式会社ネットマーケティングは5/21、「不正アクセスによる会員様情報流出に関するお詫びとお知らせ」を公表しました。昨日に続いてサイバー攻撃の記事です。同社サーバーへの不正アクセスで会員情報の一部が流出した可能性が高い事が判明したとのこと。

ネットマーケティング

ネットマーケティングはアフィリエイトなどの広告事業とメディア事業（恋活・婚活マッチングサービス）を手掛ける、2004年設立のこちらも若い企業です。2017年に東証JASDAQ市場へ上場してますね。2019年からは東証一部に昇格しています。

不正アクセスの対象となったのは、同社が提供する恋活・婚活マッチングアプリ「Omiai」を管理するサーバーです。同社のホームページではこのアプリを次のように説明しています。「自分にぴったり、しっくりくる相手をみつける恋活・婚活アプリ「Omiai」。恋のその先に未来を描いた時、大切な相手を見つけたいと思った時に安心して利用できるサービスです。」

会員情報の流出

同社は2021年4月28日15時頃、サーバーが攻撃され、顧客の年齢確認書類の画像データに対する不正アクセスを認識、その後、外部専門会社の協力をえて調査を実施していました。

流出した可能性のある会員情報は、2018年1月31日～2021年4月20日の期間に、同社へ年齢確認審査書類を提出した、、、なんと、171万1756件分（アカウント数）の年齢確認書類の画像データだそうです。過半数が免許証の画像データのようです。クレジットカード情報は含まれていません。こんなに大勢のユーザーがいるのに驚き。

4/28に攻撃を受けたことを認識していながら、公表は5/21。でもって、「対象のお客様におかれましては、万が一身に覚えのない連絡や、心当たりのないコンタクトがあった場合、念のためご注意をお願いいたします。」。は、ないでしょ。初動が上手くいかなかった事例ですね。株価もストップ安です。

GW入り直前4/28に、鹿島建設の海外子会社が、外部からのサイバー攻撃の被害に遭ったことが報道されました。そしてGW終盤の5/7には米国石油移送パイプライン大手の Colonial Pipeline もサイバー攻撃を受けています。いずれもランサムウェアによるものです。

鹿島建設

ゼネコン大手の鹿島建設の海外グループ会社が4/28、ランサムウェアに感染したことにより、請求書などの内部情報流出を引き起こしていることが日経で報じられました。ランサムウェアによるサイバー攻撃は3月下旬に発生したもので、攻撃者はハッカー集団「REvil（レビル）」と名乗っているとのこと。

盗み取られた情報は全部で約130万件に及ぶといわれており、ダークウェブ環境にて、当該情報の一部を公開しています。合わせて、鹿島側に「情報の買取」を請求する書き込みをしているようです。

日本を代表するゼネコンの鹿島ですが、今回の被害に関しては一切開示していません。この姿勢、いかがなものでしょう。

Colonial Pipeline Company

Colonial は米国石油移送パイプライン大手。5/7（現地時間）、ランサムウェアを含むサイバー攻撃を受け、すべてのパイプライン操作を一時的に停止したと発表しました。

Colonialは米国で最大のパイプラインを運営しており、テキサス州やルイジアナ州にある数十の製油所で生成されたガソリンやジェット燃料などを、全米のタンクや空港、軍事施設に移送しています。今のところランサムウェアで何を要求されたかなどの詳細は明らかにしていません。

米連邦捜査局（FBI）は5/10（現地時間）、同社へのランサムウェア攻撃には、「Darkside」というハッカー集団が関わっていることを確認したと発表しました。この件にはロシア政府は関わっていないものの、攻撃者がロシア在住というエビデンスがあるとしています。

そして、5/14には東芝テックのヨーロッパ4カ国にある現地法人に対しても、Darksideがランサムウェア攻撃。金銭の要求がありましたが、応じなかったといわれています。サイバー攻撃が止まりません。

加賀電子工業は3/19、「当社米国子会社における資金流出事案について」を公表しました。悪意ある第三者による虚偽の送金指示に基づき資金を流出させる事態が発生したとのこと。弁護士等による対策チームを編成し、既に現地の捜査機関に届け出ているようです。

ビジネスメール詐欺

事案の発生は今年2月。損失見込み額は最大で5億円といいます。捜査上の機密保持のため、現時点ではこれ以上の詳細情報は控えるとしています。このところあまり聞かなかったBEC（ビジネスメール詐欺）の被害にあった、と思われます。

BEC（Business E-mail Compromise）は、業務用メールを盗み見して経営幹部や取引先になりすまし、従業員をだまして偽口座に送金させ資金を詐取するというサイバー攻撃の一種です。2017年12月にJALが3億8,000万円の被害に遭いました。

ビジネスメール詐欺は、「経営幹部になりすます方法」と「取引先になりすます方法」の2つのタイプに分類されます。JALのケースは取引先になりすましていました。攻撃者が送信する（送金指示）メールの信憑性を高めるために、事前に業務用のメールを盗み見して準備します。

最終的には攻撃者が用意した口座に送金を指示しますので、取引先になりすましたうえで、それまで使用していた口座とは違う偽口座を指定してきます。ここが重要です。振込先口座の変更依頼があったときに、メール以外の方法でその変更依頼の信憑性を確認することですね。

加賀電子は

とまぁ、情報がない中でありそうな想定を書きましたが、同社の開示の中には「資金流出後まもなく、指示が虚偽であることに気付き、犯罪に巻き込まれた可能性が高いと判断し」とあります。ビジネスメール詐欺に違いないと思うのですが。。。

1/5付け日本経済新聞の記事です。「病院のサイバー対策強化　厚労省が指針改定へ　攻撃・漏洩恐れあれば報告」というタイトルで、2005年に策定した情報セキュリティのガイドラインを改定すると伝えています。しかし、今頃こんなことやってるのってどうよ、って感じです。

ガイドライン改定のポイント

記事では改定のポイントも4点まとめられているんですが、どれもこれも目新しさがないというか、これまでこの程度のことも盛り込めてなかったのかと驚かされます。攻撃を受けた際の報告や2要素認証の採用、ネットワークの監視システムの導入、標的型攻撃への対策などを求める内容です。

産業界の中でも特に医療界は取組みが遅れているようですね。病院のセキュリティに対する危機感は乏しい、という有識者の言葉も紹介されていました。そのうえ監督官庁である厚労省までがこの始末です。

ランサムウェアを仕込む奴らの目線

海外ではランサムウェアの餌食になる病院が後を絶ちません。日本は大丈夫だろうという意識はもう通用しません。仕掛ける奴らにとっては、身代金を払ってくれそうな相手なら何でもいいわけです。

ただでさえ人の命を預かっている病院。そこへ新型コロナ。。。新型コロナの重症者を受け入れている病院では人工肺などの医療機器がフルに使用されています。こうした医療機器もデジタル化されてるでしょうから、制御装置を停止させることで身代金を要求、なんてことも起こりかねません。

他の病気であっても一緒ではありますが、今は特にコロナ患者を死なせてしまうことはニュース性もあり、つけ込みやすい弱み。同じ日の日経には、「都立病院を重点拠点に」という記事もありました。14の都立病院、公社病院と説明されていて、コロナ患者を受け入れる病院（標的）まで報道され始めています。

今、日本の病院は非常に危険な状況にあると思います。厚労省の動きを待つことなく、サイバー対策を進めてほしいものです。