情報セキュリティ事件・事故のまとめ

標的型メール攻撃、内部不正・不注意、ビジネスメール詐欺、サプライチェーンの弱点、システム障害、サイバー攻撃などなど

カプコン、ランサムウェア攻撃にて情報流出最大35万件についてまとめてみた

サイバー犯罪集団が、ゲームメーカーのカプコン大阪市)の機密情報を不正に入手した。外部に流出させない見返りに同社に取引を要求。
同社では11月2日より不正アクセスによるシステム障害が発生し、社内ネットワークの一部停止に追い込まれた。以下、本件について被害状況とについてまとめた。

概要

「RAGNAR LOCKER(ラグナ ロッカー)」を名乗る集団が9日、「カプコンへのサイバー攻撃に成功」「約1テラ(テラは1兆)バイトの機密データをダウンロードした。顧客や従業員の個人情報や業務上の情報などが含まれている」とする声明文をインターネット上で発表。
カプコン不正アクセスによるシステム障害の影響で、2日未明から社内のネットワークを一部停止させ、同日、大阪府警に相談した。*1

事象・症状

機密情報流出については現在も調査中。
現時点で概ね確認できた事実関係(2020年11月16日現在判明分)の概要は次の通り。

f:id:hilo_lin:20201117171643p:plain
流出を確認した、或は流出の可能性がある情報一覧

「RAGNAR LOCKER」は、盗んだデータを流出させると脅し1100万ドル(約11億5500万円)分の支払いを要求。
カプコンは要求に応じず、上記内部資料とみられるデータを流出。*2

問題・原因

「オーダーメイド型ランサムウェア」による「標的型攻撃」であり、サーバ保存情報の暗号化やアクセスログの抹消を伴う。

攻撃手口

犯行グループからは約1TBのデータを取得したと脅迫し、身代金1100ドルをビットコインで支払うよう要求される

f:id:hilo_lin:20201118084852j:plain
犯行グループからの声明
脅迫内容
  • 日本、米国、カナダのネットワークにある全サーバーに接続でき,1TB超の機密データを入手したこと
  • 会計関連、知的財産、取引先や従業員情報、電子メールや監査レポート等が含まれること
  • 11月8日午前8時までに身代金を約11億5000万円支払いをすること(カプコンは取引に応じていない)
  • 取引に応じない場合、すべてのデータがオークションを経て公開、または販売すること

取引に応じないと判断*3

リーク情報

順次公開された情報には新作ゲーム(例:バイオハザード8)の発表日等が含まれることを確認された模様*4

検体解析レポート

企業名を名指しで脅迫する「Ragnar Locker」ランサムウェアの解析www.mbsd.jp

経緯と時系列

11月2日未明 社内システムへの接続障害を確認*5
11月4日 「不正アクセスによるシステム障害発生に関するお知らせ」を公表
11月9日 9件の個人情報および一部の企業情報の流出を確認
11月16日 「不正アクセスによる情報流出に関するお知らせとお詫び」を公表*6

対処・解決

  • 大阪府警に通報
  • 大手ソフトウェア企業、大手セキュリティ専門ベンダ、サイバーセキュリティに造詣の深い外部弁護士に状況を報告し、指導・アドバイスを得る体制を取った
  • 社長名での謝罪文書を公開(11月16日)

今後の対応

  • 日本・米国の警察当局との連携、関係各国の個人情報保護機関への適時報告を行いアドバイスを受ける体制を続ける
  • 大手セキュリティベンダ等にも協力を依頼
  • 本件攻撃による障害の全容解明
  • 外部のセキュリティ専門家を交えた対策会議を開始
  • 外部専門家によるシステムセキュリティに関するアドバイザリー組織を新設

脚注・引用・出典

*1:カプコンにサイバー攻撃か 機密情報見返りに取引要求, 日本経済新聞(2020年11月16日閲覧)

*2:カプコン、身代金を要求されていたランサムウェア攻撃にて、情報流出を確認したと発表。最大約35万件のさらなる情報流出の可能性も | AUTOMATON

*3:カプコンが「11.5億円の身代金要求」拒否 犯罪集団からの金銭要求応じず,SankeiBiz(2020年11月17日閲覧

*4:[https://www.polygon.com/2020/11/16/21569504/capcom-leak-ransomware-resident-evil-village-release-dates-monster-hunter-stories-2-nintendo-switch/:title=polygon(2020年11月19日閲覧

*5:不正アクセスによるシステム障害発生に関するお知らせ/2020年11月4日のプレスより

*6:公式サイトプレス

二重に脅迫するランサムウェアと被害事例についてまとめてみた

ランサムウェア(英:Ransomware)とは「身代金要求型コンピューターウイルス」のことでマルウェアの一種。感染したコンピュータは、利用者はシステムへのアクセスを制限される。この制限を解除するため、攻撃者は被害者に制限解除のために金銭を支払うよう要求する。最近では、攻撃者は企業・組織を標的とし、事業継続のため金銭を支払わざるを得ない状況を作り上げ、より確実に、かつ高額な身代金を得ようとする。

概要

ランサムウェア攻撃は海外で多数の企業・組織の被害が報道され、国内も例外ではない。この攻撃は、組織の規模、種類関係なく、ITシステムにより事業が成り立っている企業・組織が標的になる。
ランサムウェア攻撃タイプには以下の二種類がある

項番 ランサムウェアのタイプ 使用不可にする対象 脅迫要求内容
1 ファイル暗号化型 画像・文書・データ等 データ復旧のために金を払え
2 操作ロック型 端末そのもの ロック解除のために金を払え
3 情報窃取型 コンプライアンス 機密を保持のために金を払え

ランサムウェアは項番1の文書、画像、データファイルを暗号化するタイプが多い。2018年からより明確に標的を企業・組織に定め、身代金を支払わざるを得ないような状況を作り出すため、次の2つの新たな攻撃手口を取り入れている。(~ 「人手によるランサムウェア攻撃」と「二重の脅迫」~(IPA))

在宅ワークが進む緊急事態宣言の後、セキュリティ対策が追い付かない企業が多い中、狙われる可能性も増大している。
なお、ランサムウェア攻撃はおおむね以下の手順にて行われる。

攻撃手順
  1. ネットワークへの侵入
  2. ネットワーク内の侵害範囲拡大
  3. データの窃取(※二重の脅迫の場合)
  4. データの暗号化・システム停止
  5. 窃取したデータの公開(※二重の脅迫の場合)

感染経緯については大まか以下の通りが考えられる。

f:id:hilo_lin:20201110174852p:plain
ランサムウェアへの感染経路(作図:紫電一閃)

2020年以降の具体的な事例

- カプコン株式会社(現在更新情報あり)
11月4日カプコンは第三者からの不正アクセスにより社内システムの一部に障害が発生したと発表。*1

  • 2020年11月2日未明より、カプコン社内のグループシステム(メールシステム、ファイルサーバー)の一部でアクセス障害が発生。
  • 障害に関連して第三者からの不正アクセス行為が確認されていると発表。
  • 2020年11月4日時点で顧客情報の流出は確認されていない。
  • カプコン社ゲームをプレイするためのインターネット接続、自社サイトへの悪影響は発生していない。
  • システム障害同日に大阪府警に被害を相談

- 塩野義製薬株式会社(台湾現地法人

  • 台湾現地法人サイバー攻撃を受け、盗まれた情報の一部がインターネット上に公開された。
  • ダークウェブ上に医療機器の輸入許可証や社員の在留許可証が公開された。*2

引用・出典・注釈

【注意喚起】事業継続を脅かす新たなランサムウェア攻撃について,IPA(2020年8月24日閲覧)

脚注・外部リンク

*1:不正アクセスによるシステム障害発生に関するお知らせ(カプコン)

*2:塩野義製薬にサイバー攻撃 台湾現地法人、金銭要求も

慶應大学に不正アクセスと脆弱性攻撃、約3万件の個人情報流出

慶応大学は、外部から不正アクセスがあり、神奈川県藤沢市にあるキャンパスのサーバーから学生の氏名や顔写真などおよそ3万件の個人情報が流出した可能性があると報道。本件についてメディアの報道をまとめてみた。

事象・症状

慶應大学湘南藤沢キャンパスの情報ネットワークシステム(SFC -CNS)および 授業支援システム(SFC -SFS)において個人情報流出があった。

流出情報・影響

所属する教職員の顔写真を含む個人情報3万件が流出
経営管理研究科Webサーバでは、グループ名簿等が漏洩した可能性があり

漏えい情報詳細
f:id:hilo_lin:20201112101727p:plain
漏えい情報一覧

原因・問題

システム利用者19名(教職員)のIDおよびパスワードが窃取され、それを用いた外部からの不正アクセス
授業支援システム(SFC-SFS)の脆弱性をついた攻撃

時系列

9月15日17:45 不審なアクセスを検知し詳細を調査した結果、SFC-SFSへの脆弱性探査が散発的に 行われている
9月28日夜  不審なアクセスを検知したため、SFC-SFSシステム上で詳細を調査
9月29日未明 不正アクセスによる情報漏洩の可能性を判明

対応

不正アクセス判明後、以下実施済み(一部は継続対応中)

時系列

9月16日、9月30日 全ての利用者のパスワード変更を依頼
9月16日~継続    全ての認証箇所および認証ログ等を継続監視・学外からの共用計算サーバへのログインを公開鍵認証のみに限定(9月16日)
脆弱性が確認されたWebサービスの停止と、脆弱性箇所の改修【実施中】(9月16日以降順次、SFC-SFSは9月29日)
SFC-SFSのシステムを停止

その他

関係省庁・機関および警察への被害の報告
湘南藤沢キャンパスにおいては、サーバ停止
総合政策学部環境情報学部、政策・メディア研究科では、秋学期授業開始を10月1日から1週間遅れの10月8日に繰り下げ

再発防止に向けた取り組み

  • 2020年11月1日付で学内にCSIRT(情報セキュリティインシデント対策チーム)を設置
  • 全学的にWebアプリケーションやシステムのセキュリティチェックと改善
  • 個人情報を守るための取り扱いの見直
  • セキュリティ教育・広報の充実

脚注・引用・出典

本学サーバへの不正アクセスによる被害および個人情報漏洩についてwww.keio.ac.jp
 (2020年11月11日閲覧)

なりすまし口座に約1億円が流出(SBI証券)現金引き出した容疑「出し子」の2人を逮捕

SBI証券は顧客アカウントへの不正ログインにより9,864万円の顧客口座の資産が外部へ流出した

f:id:hilo_lin:20201110163613p:plain
SBI証券口座流出事件の構図

攻撃者・犯人・容疑者

埼玉県警は10日、いずれも同県川口市に住む中国籍の少年(19)と少女(19)を窃盗容疑で逮捕。
少年は容疑を認め「ネット上で知り合った中国人から指示を受けた」と供述。
川口市内のコンビニエンスストアの現金自動受払機(ATM)で、SBI証券の顧客名義のゆうちょ銀行口座から現金計52万円を引き出したとしている。防犯カメラの映像などから関与が浮上した。*1

攻撃手口

  1. SBI証券の顧客アカウントに不正ログイン
  2. 偽造した本人確認書類を用いて銀行でSBI証券と同名義の口座を開設
  3. 顧客アカウントが保有する有価証券を売却
  4. 出金先銀行口座を不正口座に設定変更
  5. 売却した資金を不正口座に送金
  6. 送金された金を引き出し

被害状況

  • 口座数:6口座(ゆうちょ銀行5口座、三菱UFJ銀行1口座)
  • 被害総額:合計9,864万円

(ゆうちょ銀行:9,229万円、三菱UFJ銀行:635万円)

防止対策

監視:24時間モニタリング体制、検知システム(WAF)不審IPアドレス排除
認証:ワンタイムパスワード、普段と異なる環境からのログイン検知など
本人確認:出金先銀行口座登録における本人確認の強化
その他

  1. スマートフォンにおけるOS・アプリケーション改ざん等の検知機能
  2. ソースコード暗号化機能
  3. URLの暗号化機能

引用・出典

株式会社SBI証券プレスリリース (2020年9月24日閲覧)

脚注

*1:毎日新聞

Go To トラベル地域共通電子クーポンの不正取得・不正利用事案

『Go To トラベルキャンペーン』にて発行している「地域共通クーポン」の不正取得を目的とした不正予約事案が発生している。
現時点で各宿泊施設では被害が出ているため、警戒が必要だ。

観光庁がクーポン取得者の本人確認を強化した11月25日以降も不正が起きていることがわかった。旅行会社からは、電子クーポンから紙のクーポンに切り替える動きが出ている。
【独自】GoTo電子クーポン、本人確認強化後も不正続く…「紙」に切り替える動き : 社会 : ニュース : 読売新聞オンライン

f:id:hilo_lin:20201106131635p:plain
電子クーポン不正取得の手口(作図:紫電一閃)


※『電子クーポン』とはチェックイン当日の午後3時以降に、予約番号などを入力すると発行される。
この電子クーポンは、旅行先の近隣の自治体にある登録店で食事や買い物などをする際に、QRコードを読み込むことで使用できる。

事象・経緯

宿泊する意思がないのに、「地域共通クーポンが電子クーポンにて発行されている」予約サイトなどを通じて宿泊予約をし、宿泊当日は無断キャンセルが行われている。なお、予約内容には以下の特長がある。

  1. 複数人且つ数日の連泊
  2. 住所が都道府県のみで、郵便番号記載がない
  3. 連絡先電話番号が現在利用されていない、或は他人、別人

問題・原因・犯行手口

予約した宿泊日当日の午後3時に「地域共通クーポン」が発行される。
地域共通クーポンは現金消費に充当できるため、不正に取得し、利用される。

被害状況・影響

  • 館山リゾートホテル:10月25日から8名で5連泊、総額63万円の予約を無断キャンセル、食材などを廃棄
  • 『地域共通クーポン』9万5000円分が、予約した人物に発行された。
  • 予約の際に登録されていた都内の住所は独居老人宅であったため、質問したところ、予約については全く見おぼえないと供述

対処・解決・回避方法

◯不正予約が発覚したIPアドレスブラックリスト化と予約の抑制
◯高額・複数連泊など不正の疑われる予約記録の事前洗い出しと不正予約チェックの実行
◯検知できた不正予約の取り消し対応
観光庁およびGo To トラベル事務局を通した警察などの捜査機関との連携(不正に地域クーポンが利用された予約の捜査機関への協力)
〇地域電子クーポンはSMSの認証を11月25日以降に導入する*1

〇神奈川県藤沢市の職業不詳、男性容疑者は「Go Toトラベル」を利用したように装い、宿泊を無断でキャンセルして利用者に発行される「地域共通クーポン」、およそ54万円分をだまし取ったとして電子計算機使用詐欺の疑い*2

宿泊施設は以下の対策を

●不正と思われる予約への電話確認
●事前決済の切り替え

更新履歴

2020年11月20日 対処・解決・回避方法に11月25日より電子クーポンにSMS認証を含めると記載した

2020年12月2日 初めて逮捕者について記載

脚注・引用・出典

*1:電子クーポンにSMS認証 GoTo、不正防止で―観光庁,(2020年11月19日)

*2:地域共通クーポン詐取容疑で逮捕 https://www3.nhk.or.jp/shutoken-news/20201129/1000056820.htmlwww3.nhk.or.jp