大物ランサムウェア「Lockbit」摘発、警察庁は暗号化データの復号ツールリリース…一週間で活動再開か

セキュリティニュース
ここで紹介するニュースは、ほとんどの場合下記の方法で対策できます。
〇 OS、アプリケーション、アンチウイルスのデータベース等を常に最新の状態に保つ
〇 UTM導入等によるネットワーク全体の防御を行う

– 3/6号 目次 –

01. 大物ランサムウェア「Lockbit」摘発、警察庁は暗号化データの復号ツールリリース…一週間で活動再開か


02. 病院に不正アクセス、ランサムウェア感染…認証無しでリモートデスクトップ接続が可能


03. 2月はWordPressの29のプラグインに脆弱性…Sucuri社発表

大物ランサムウェア「Lockbit」摘発、警察庁は暗号化データの復号ツールリリース…一週間で活動再開か

– 2月21日(日本時間)、警察庁より、欧州Europol・米FBI・英NCAといった各国警察機構との連携により、ランサムウェア「LockBit」のテイクダウンを行ったと発表されました。

– LockBitを利用していた犯罪者グループのメンバー2名を逮捕、ダークウェブ上のリークサイトを閉鎖したとしています。

– 併せて同庁からは、LockBitで暗号化されたデータを復号するツールを開発し、12月にEuropolに提供していたことが発表されており、国内の被害企業等に対し最寄りの警察署へ相談するよう呼び掛けるとともに、求めに応じツールを用いた被害回復作業を行うとしています。

[ 出典 ]
https://www.itmedia.co.jp/news/articles/2402/21/news125.html
https://www.jiji.com/jc/article?k=2024022001027
https://www.tokyo-np.co.jp/article/311753

AUS便りからの所感 AUS便りからの所感

復号ツールは9割以上のデータの復元に成功する等一定の効果を見せているとされ、過去にLockBitに感染した各組織においては安易に身代金を支払わずツールの提供を受けるべきでしょう。

一方で、テイクダウンから一週間後の2月27日にはLockBit側がリークサイトを復活させ、早くも活動を再開させているとみられ、今後の新たな被害発生の可能性についてはまだ安心はできない状況です。

相手が開発するであろう新たなLockBitはこれまでと異なるデータ暗号化機構を持つ可能性が高く、その場合には復号ツールの対応にもある程度のタイムラグが発生するとみられ、各組織では今後のランサムウェア攻撃について引き続き注意を払い、各種データバックアップの実施を心掛けてください。

病院に不正アクセス、ランサムウェア感染…認証無しでリモートデスクトップ接続が可能

– 3月4日(日本時間)、鹿児島県霧島市の国分生協病院より、同病院のシステムがランサムウェアに感染したと発表されました。

– 2月27日に深夜に電子カルテシステムの画像管理サーバーに感染、PDFデータの一部が暗号化されたことが確認されたとしています。

– 電子カルテ・会計システムは発表時点で復旧しているものの、救急・一般外来の受入について制限を行っているとしています。

[ 出典 ]
https://373news.com/_news/storyid/191272/
https://kokubu-seikyo.jp/category/pickup/

AUS便りからの所感 AUS便りからの所感

発表では、ランサムウェアに侵入された原因として、保守のためのネットワーク機器に、外部から認証なしで病院内のコンピュータにリモートデスクトップ接続が可能な設定があったこと、画像管理サーバーにアンチウイルスソフトが導入されていなかったことが挙げられています。

システムへのリモートアクセスとそれを経由してのリモートデスクトップへのアクセスで二度認証の手間がかかるとしても、片方を認証なしにするのは、社内LANや、ふとしたタイミングで外部からの攻撃に無防備となる恐れがあります。

各ポイントでの認証設定は確実に行い、公開鍵認証等強固な認証を用いる、パスワードの場合は決して推測可能なものは使わない、そしてくれぐれもリモートデスクトップサービスは外部から直接アクセス可能な状態としないことが重要です。

2月はWordPressの29のプラグインに脆弱性…Sucuri社発表

– 2月29日(現地時間)、WordPress用セキュリティプラグイン等を提供する米Sucuri社より、2月に報告された27のWordPressプラグインに存在する29件の脆弱性のまとめ記事が発表されました。

– 今回発表分で最も危険度が高い「High」は6件で、クロスサイトスクリプティング(XSS)が3件の他、トラバーサル系2件、サービス拒否1件となっています。

– また、XSSの脆弱性については29件のうち実に25件を占めています。

[ 出典 ]
https://news.mynavi.jp/techplus/article/20240305-2896341/
https://blog.sucuri.net/2024/02/wordpress-vulnerability-patch-roundup-february-2024.html

AUS便りからの所感 AUS便りからの所感

WordPressにおいては、提供されるプラグインも、またそれらで報告される脆弱性も数多く存在しており、Sucuri社による月毎のまとめでは、1月分で28件、2023年12月分で23件と、多数の報告がまとめられています。

WordPress本体においても1月にセキュリティアップデート6.4.3がリリースされるなど、不定期に更新されることがあり、本体・プラグインともインストールした状態のままで放置するようなことは決してせず最新に保つよう努めること、加えてセキュリティを強化する何らかのプラグインを導入し、さらに並行してWAFやIDS・IPSの導入についても検討するのが良いでしょう。