タグ: マルウエア

鉄建建設が保有するサーバ約70台のうち、台数で約95%が暗号化などの被害を受けています。加えて、同社の社員が使用するPC約3000台のうち、アンチウイルスソフトがアンインストールされる被害が、約10%のPCにおいて確認されているそうです。半端ない被害です。

新しいタイプのランサムウェア

9月23日朝7時頃に社内システムの障害を検知したとのこと。翌日には「システム障害発生のお詫びとお知らせ」を開示しましたが、調査の結果、新しいタイプのランサムウェアにより、約95%のサーバが暗号化などの被害を受け、被害を受けたサーバに記録されていたデータの
一部が窃取され、特殊サイトに掲載されていることが確認されます。

顧客や関係者に影響を及ぼす二次被害などは確認されていないようですが、企業として壊滅的な被害ですね。基幹システムが復旧したのが9/30ですから、ほぼ一週間はまったく仕事にならなかった。事業継続に支障をきたしたということです。

特にメールサーバの被害が大きく、復旧にはさらに時間を要する見込みとのこと。事業が停止してしまった期間分の被害額、どのくらいになるんでしょう。被害を受けたサーバ内に、英文による攻撃者への連絡先URLの存在を確認したといいますが、身代金は支払われたのでしょうか。

京セラでも

京セラは10/16、従業員のパソコンがマルウエア（悪意のあるソフト）に感染し、最大で約1万4千件の個人情報が漏洩した可能性があると発表しました。従業員を装った不審なメール（マルウエアに感染させるためのファイルが添付されている）が社内外に約3万通送信されたことも確認されたようです。

鉄建は今のところ感染経路を明らかにしていませんが、京セラのケースは、従業員が在宅勤務中で社内システムへの接続に使われるVPN（仮想私設網）を使用。9月に取引先から受信したメールの添付ファイルをダウンロードし、感染した可能性があるとしています。

創業1803年、京都の和菓子の老舗、亀屋良長株式会社が保有するPC端末が、マルウエア「Emotet（エモテット）」に感染。同社からの情報流出や流出した情報を悪用されたなりすましメールが確認されたとのこと。9月1日に発生しています。

感染の経緯と影響

9/1、実在する同社従業員を名乗る人物から別の従業員に、請求書の連絡メールに偽装した添付ファイル付きのメールが送られてきます。受信した従業員が添付ファイルを開封し、「コンテンツの有効化」を許可したことでエモテットに感染したそうです。

感染後、エモテットの影響でいろんなことが起きているようです。社内で利用する共通メールアドレスに大量の不正メールが届いたり、同社と取引関係がある顧客情報が別の顧客に配信されるなど。

専門会社の調査によると、メールサーバー内に記録されている個人情報（氏名、住所、電話番号、メールアドレス、メール本文の内容）の流出が確認されています。ただし、クレジットカード情報は流出してないそうです。

Emotet（エモテット）の巧妙化

エモテットが9月に入って活動を活発化させているようです。亀屋良長はまさにその攻撃対象になってしまったわけですが、情報処理推進機構（IPA）には、同社以外にも感染の一報や問い合わせが急増しているとのこと。

手口も巧妙化しているようで、従来の添付ファイルはワードだったんですが、パスワードを設定した「zipファイル」を使用し、セキュリティ対策製品のスキャンをすり抜ける可能性のあるものも見付かっているみたいです。

領収書や請求書などのファイルは、ほとんどの場合マクロを必要としません。くれぐれも、マクロを実行させるための「コンテンツを有効にする」ボタンは押さないように。