ESXiサーバーと仮想マシンを標的とし、超高速で攻撃を仕掛ける新種のPythonランサムウェアをソフォスの研究者が発見
- 2021年10月22日 13:30:00
- マネー
- Dream News
<<報道資料>>
ソフォス株式会社
ESXiサーバーと仮想マシンを標的とし、超高速で攻撃を仕掛ける新種のPythonランサムウェアをソフォスの研究者が発見
※本資料は2021年10月5日(現地時間)に英国オックスフォードにて発表されたプレスリリースの抄訳です。
次世代サイバーセキュリティのグローバルリーダー企業であるソフォス株式会社(東京都港区 代表取締役 中西 智行)は、本日、ESXiハイパーバイザー上でホストされている仮想マシンを侵害してファイルを暗号化する、Pythonで書かれた新しいランサムウェアの詳細を公開しました。「ESXiサーバーを暗号化するPythonランサムウェアスクリプト」(https://news.sophos.com/ja-jp/2021/10/05/python-ransomware-script-targets-esxi-server-for-encryption-jp-2/)と題した調査レポートで、標的を絞り込み、侵入から暗号化までを3時間以内に行う攻撃の手順を紹介しています。
ソフォスの主席研究員であるAndrew Brandtは次のように述べています。「この攻撃は、ソフォスがこれまでに調査したなかで最も速いランサムウェア攻撃であり、ESXiプラットフォームを正確に狙っています。Pythonは、ランサムウェアではあまり使用されないプログラミング言語です。しかし、ESXiなどのLinuxベースのシステムにはプリインストールされていることから、そのようなシステム上ではPythonを用いた攻撃が可能です。ESXiサーバーを侵害することで、重要な業務アプリケーションやサービスを実行している可能性のある複数の仮想マシンを一度に攻撃できるため、ランサムウェア攻撃者の格好の標的になっています。ハイパーバイザーへの攻撃は迅速かつ高い破壊力をもっており、DarkSideやREvilなどのランサムウェアのオペレーターもESXiサーバーを攻撃の対象としています」
●攻撃の時系列
今回ソフォスが調査した攻撃は日曜日の午前0時30分に、ランサムウェアのオペレーターがドメイン管理者のアクセス権限を持つユーザーのコンピューター上で実行されているTeamViewerアカウントに侵入したことで始まりました。
ソフォスの研究者によると、侵入から10分後、攻撃者はAdvanced IP Scannerツールを使ってネットワーク上の標的を探し始めました。標的となったESXiサーバーが脆弱だったのは、ITチームがコマンド実行やアップデートに使用するプログラミングインターフェイスであるシェルが有効になっていたためだと考えられます。攻撃者はこのシェルを利用して、ドメイン管理者のマシンにBitviseと呼ばれるセキュア通信ツールをインストールし、ESXiシステムおよび仮想マシンが使用する仮想ディスクファイルにリモートでアクセスしました。午前3時40分ごろ、攻撃者はランサムウェアを展開し、ESXiサーバーでホストされていた仮想ハードドライブを暗号化しました。
●対策
先述のBrandtは次のように述べています。「ESXiやその他のハイパーバイザーをネットワーク上で運用する管理者は、セキュリティのベストプラクティスに従うべきです。総当たり攻撃による推測が困難な固有のパスワードを使うことや、多要素認証を行うことなどもその一部です。ESXiシェルは日頃から、従業員がパッチのインストールなどに使用していないときには常に無効にしておくべきです。ITチームはサーバーコンソール、あるいはベンダーが提供するソフトウェア管理ツールを使用して、このように設定できます」
Intercept Xを始めとするソフォスのエンドポイントプロテクション製品はランサムウェアやその他の攻撃の動作や挙動を検知してユーザーを保護します。ランサムウェアによるファイルの暗号化は、CryptoGuard機能によって阻止されます。また、ESXiハイパーハイザーの管理者向けのセキュリティガイダンスもオンラインで公開されています。
ソフォスは、ランサムウェアや関連するサイバー攻撃から身を守るため、以下のベストプラクティスに従うことを推奨しています。
●セキュリティ保護の戦略
・多層防御を導入する:恐喝を伴うランサムウェア攻撃が増加しています。バックアップは依然として必要ですが、対策としては不十分です。攻撃者を最初からネットワークに寄せ付けないこと、あるいは攻撃によって被害を受ける前に迅速に検知することが、これまで以上に重要です。多層防御を利用して、レイヤ内の可能な限り多くの場所で攻撃者を検出して、阻止できるようにしてください。
・専門家による保護とランサムウェア保護技術を併用する:ランサムウェアによる攻撃から組織を守るためには、専用のランサムウェア対策技術と専門家の人力による脅威ハンティングを組み合わせた徹底した防御が必要です。ランサムウェア対策技術は大規模かつ自動的に組織に展開できる利点がある一方で、攻撃者による環境への侵入を示すTTP(戦術、技術、手順)の検知は人間の専門家がより得意としています。組織内に高いスキルを有する専門家がいない場合は、サイバーセキュリティの専門家によるサポートを受けることを検討してください。
●セキュリティ保護の日々の実践方法
・アラートを監視し、すばやく対応する:組織に潜在する脅威を監視、調査、対応するために適切なツール、プロセス、およびリソース (人) が配備されていることを確認しましょう。ランサムウェアの攻撃者は、アラートを監視している担当者がほとんどいないと思われるオフピークの時間帯や週末、あるいは休日に攻撃を仕掛けてくることが多くあります。
・強固なパスワードを設定して使用する:強固なパスワードは、脅威からの身を守るための基礎の一つです。パスワードは固有で複雑なものに設定し、決して使い回さないようにしてください。従業員の認証情報を保存できるパスワードマネージャーの導入も検討してください。
・多要素認証(MFA)を使用する:どれほど強固なパスワードでも侵害される可能性があります。電子メール、リモート管理ツール、ネットワーク上のマシンなどの重要なリソースへのアクセスを保護するために、どのような場合でも多要素認証を用いることをお勧めします。
・サービスへのアクセス経路を塞ぐ:外部からネットワークスキャンを行い、VNC、RDP、その他のリモートアクセスツールでよく使用されるポートを特定して閉じてください。リモート管理ツールを使用してマシンにアクセスする必要がある場合は、VPNや、ログイン時にMFAを使用するゼロトラックネットワークアクセスサービスを通じて利用しましょう。
・セグメンテーションおよびゼロトラストを実践する:ゼロトラストネットワークモデルを実現するため、重要なサーバーを別のVLANに配置して他のサーバーや個人用のマシンから分離してください。
・データやアプリケーションのオフラインバックアップを取る:バックアップを最新の状態に保ち、いつでも復元できるようにしてください。バックアップはオフラインで保管してください。
・ネットワーク上のマシンとアカウントの一覧を作成する:ネットワーク上の未知のデバイス、保護されていないデバイス、パッチが適用されていないデバイスはリスクを増大させ、悪意のある活動が秘密裏に行われる状況を作り出します。接続されている全てのマシンの最新のインベントリを把握することが重要です。ネットワークスキャン、IaaSツール、目視での確認などを併用して接続されているマシンの場所を確認して一覧を作成し、保護されていないマシンにはエンドポイント・プロテクション・ソフトウェアをインストールしてください。
・セキュリティ製品の設定を確認する:保護されているシステムやデバイスであっても脆弱な場合があります。セキュリティ製品が正しく設定されていることを確認し、必要に応じてセキュリティポリシーを定期的に確認、検証、更新することが重要です。新しいセキュリティ機能が自動的に有効になるとは限りません。改ざん防止機能を無効にしたり、検出除外範囲を広く設定することは攻撃を受けるリスクを増大させるだけなので控えましょう。
・Active Directory(AD)を適正に管理する:ADアカウントを定期的に検査し、必要最小限以上のアクセス権が付与されていないことを確認しましょう。退職する社員のアカウントは、即座に無効にしてください。
・すべてのソフトウェアにパッチを適用する:Windowsやその他のOS、ソフトウェアを常に最新の状態に保ちましょう。パッチが正しくインストールされているか、インターネットに接続するマシンやドメインコントローラーなどの重要なシステムにパッチが適用されているかを再確認してください。
さらに詳しく知りたい方は、SophosLabs UncutのPythonランサムウェアに関する記事をご覧ください。
●その他の参考資料
・SophosLab Uncutではソフォスの最新の脅威インテリジェンスを公開しており、さまざまなタイプの脅威に応じた戦術、技術、手順(TTP)などを参照できます。
https://news.sophos.com/ja-jp/2021/10/05/python-ransomware-script-targets-esxi-server-for-encryption-jp/
・攻撃者の行動、インシデントレポート、セキュリティ運用担当者のためのアドバイスなどは、Sophos News SecOpsでご覧いただけます。
https://news.sophos.com/ja-jp/2021/10/05/python-ransomware-script-targets-esxi-server-for-encryption-jp-2/
・24時間365日体制で攻撃を封じ込め、無力化し、詳細を調査するソフォスのRapid Responseサービスの詳細をご確認ください。
https://www.sophos.com/ja-jp/products/managed-threat-response/rapid-response.aspx
・ソフォスのRapid ResponseとManaged Threat Responseチームが培ってきたセキュリティインシデント対応における重要な4つのヒント
https://secure2.sophos.com/ja-jp/security-news-trends/whitepapers/four-key-tips-from-incident-response-experts.aspx
・受賞歴のあるソフォスのニュースサイトNaked Security(https://nakedsecurity.sophos.com/ja/)とSophos Newsで最新のセキュリティニュース(https://news.sophos.com/ja-jp/)とソフォスの解説をご覧ください。
●ソフォスについて
ソフォスは、次世代型サイバーセキュリティにおいて世界をリードする企業として世界 150ヶ国以上、50万社を超える組織と数百万のコンシューマ消費者を今日の高度なサイバー脅威から保護します。ソフォスは、SophosLabs と Sophos AI からの脅威インテリジェンス機能、AI、機械学習を活用して、ユーザー、ネットワーク、エンドポイントをランサムウェア、マルウェア、エクスプロイト、フィッシング、その他さまざまなサイバー攻撃から保護するために高度な製品やサービスの幅広いポートフォリオを提供します。ソフォスは、単一の統合されたクラウドベース管理コンソールである Sophos Central を提供します。これは、適応型サイバーセキュリティエコシステムの中心的存在であり、お客様、パートナー、開発者、その他のサイバーセキュリティベンダーが利用できる豊富なオープン API のセットを活用した一元化されたデータレイクを備えています。ソフォスは、リセラーパートナー、MSP (マネージド サービス プロバイダ) を通じてソフォス製品とサービスを販売しています。ソフォス本社は英国オックスフォードにあります。詳細については www.sophos.com (日本語サイト:https://www.sophos.com/ja-jp.aspx )をご覧ください。
●報道関係のお問合せ先
ソフォス株式会社広報事務局
Tel: 03-6454-6930
Email: sophos@ambilogue.com
以上
配信元企業:ソフォス株式会社
プレスリリース詳細へ
ドリームニューストップへ
63歳ダンプ松本「おばあちゃんと同い年だって」ショック受けるも「まだまだやりますよ!」
ナイナイ岡村隆史、夫婦生活の助言 結婚10カ月も別居の銀シャリ橋本へ「1人と、全然ちゃう」
198センチ東海大相模エース藤田琉生が6回2失点「粘りを意識して力まず投げきれたのが成長」
寺田恵子「熟女のエネルギーたくさんもらって」18回目「NAONのYAON」レジェンドと躍動
【阪神】森下翔太、8回代打でヤクルト田口から右前打「追い込まれていたのでコンパクトに」
玉置浩二の妻、青田典子(53)の現在がとんでもない事になっていると話題に
大谷翔平が父・徹さんに“バースデーアーチ”「ショウヘイ・オオタニデー」制定記念日に家族へ祝砲
【ロッテ】高部瑛斗、22年10月2日以来の1軍公式戦安打「スタメンでかき回して」吉井監督
【データ】阪神、今季4度目の1-0勝利 143試合換算なら13度ペース、球団最多は12度
【西武】痛恨の被弾「抑えないといけないところだった」松本航が唇をかむ 自力Vの可能性消滅
何があった!?「エアコン」が想定外の壊れ具合!投稿者に話を聞いた
大谷翔平が不運な判定で2度見逃し三振 「えん罪退場」で話題の球審は引き揚げる大谷にブチギレ
ヒカル、浮気相手とのLINE流出にドン引きの声「キモすぎる」「吐きそう」
玉置浩二の妻、青田典子(53)の現在がとんでもない事になっていると話題に
吉野家が「マスク外し強要疑惑」でプチ炎上、店員さんに聞いてみると……
岡本夏生(56)、1600日ぶりにブログを更新した現在が衝撃
時代劇の常識を覆す!仇討ち・無礼討ちの厳格なルール
元めちゃイケメンバーの三中元克(32)現在は何をしているのか調べてみた!
ユーチューバーもこう氏、元彼女・成海瑠奈について赤裸々告白
藤田ニコル「脱ぐ予定なかったのですが気づいたらノリノリで…」ヒョウ柄水着姿に大反響
何があった!?「エアコン」が想定外の壊れ具合!投稿者に話を聞いた
岡本夏生(56)、1600日ぶりにブログを更新した現在が衝撃
玉置浩二の妻、青田典子(53)の現在がとんでもない事になっていると話題に
ユーチューバーもこう氏、元彼女・成海瑠奈について赤裸々告白
ヒカル、浮気相手とのLINE流出にドン引きの声「キモすぎる」「吐きそう」
ガーシー、またも綾野剛の暴露写真でネット歓喜「この写真見て笑っちゃう」
元めちゃイケメンバーの三中元克(32)現在は何をしているのか調べてみた!
大谷翔平が不運な判定で2度見逃し三振 「えん罪退場」で話題の球審は引き揚げる大谷にブチギレ
完全にダマされた! 『ラヴィット!』あのちゃん“事故レベル”大暴走は『水ダウ』遠隔操作のしわざだった ネットも納得
73歳神田正輝「旅サラダ」生放送で“12歳下俳優”から呼び捨てされ激論
63歳ダンプ松本「おばあちゃんと同い年だって」ショック受けるも「まだまだやりますよ!」
ナイナイ岡村隆史、夫婦生活の助言 結婚10カ月も別居の銀シャリ橋本へ「1人と、全然ちゃう」
198センチ東海大相模エース藤田琉生が6回2失点「粘りを意識して力まず投げきれたのが成長」
寺田恵子「熟女のエネルギーたくさんもらって」18回目「NAONのYAON」レジェンドと躍動
玉置浩二の妻、青田典子(53)の現在がとんでもない事になっていると話題に
【阪神】森下翔太、8回代打でヤクルト田口から右前打「追い込まれていたのでコンパクトに」
【ロッテ】高部瑛斗、22年10月2日以来の1軍公式戦安打「スタメンでかき回して」吉井監督
大谷翔平が父・徹さんに“バースデーアーチ”「ショウヘイ・オオタニデー」制定記念日に家族へ祝砲
【西武】痛恨の被弾「抑えないといけないところだった」松本航が唇をかむ 自力Vの可能性消滅
【データ】阪神、今季4度目の1-0勝利 143試合換算なら13度ペース、球団最多は12度