piyolog

piyokangoの備忘録です。セキュリティの出来事を中心にまとめています。このサイトはGoogle Analyticsを利用しています。

東京コンピュータサービスのランサムウェア感染についてまとめてみた

2022年1月4日、東京コンピュータサービス(to-kon.co.jp)はサイバー攻撃を受け、ランサムウェアに感染したことを公表しました。ここでは関連する情報をまとめます。

大みそかにランサムウェア感染

  • 侵入が行われたのは2021年10月初旬から開始。その約2か月後の2021年12月31日早朝にランサムウェア感染が引き起こされた。
  • 社内では社員向けのActive Directoryのパスワード変更、リセット機能を提供するWebサービスを使用していたが、このWebサービスの脆弱性を悪用されADサーバーへの侵入を許した。また接続する際はリバースプロキシサーバーを介して行われていた。
  • 攻撃者はWebサービスの脆弱性を悪用して、侵入用の実行コードの埋め込み及びその実行とバックドアの作成、ウィルス対策ソフトを回避するマルウェアの配置を行っていた。
  • さらにADのドメインで管理される機器に対して、グループポリシーを使いランサムウェアを社内に自動配布するバッチファイルの配置を行った。バッチファイルは12月31日早朝に実行された。
  • 社内の全てのサーバーやPCにはウィルス対策ソフトされており、最新の状態も維持していたが2021年12月31日時点で今回感染したランサムウェアに対応はしていなかった。
f:id:piyokango:20220324070606p:plain
東京コンピュータサービスへの攻撃の流れ(ADサーバー侵入後は推測含む)

データリークサイトで情報公開

  • 社内のサーバー、PC上に保管されたファイルが暗号化され開くことが出来なくなった。また暗号化されたフォルダ上に、攻撃者とのコンタクト方法等が記載されたファイルが残されていた。
  • このファイルには社内システム内から情報を窃取したこと、窃取したデータの公開をされたくなければ連絡するよう脅迫するメッセージが記載されていた。その後攻撃者グループのデータ公開サイトには2回にわたり窃取したデータが公開された。
  • 2022年1月中旬に公開されたファイルの一部に、顧客や取引先の担当者の情報が含まれていた。この時公開されたファイルは第一弾としてファイルサーバー上のデータ130GBを窃取したと主張していた。*1 なお、このサイトには2022年3月24日時点で接続できない。
公開された時期 公開されたデータの概要
2021年12月31日から約1週間 画像ファイル6件 (社内管理情報のみ)
2022年1月中旬から下旬 ファイルサーバー上に保管された約5GBのファイル(ファイル総数3,242件)

〇一部ファイルに含まれていた顧客等情報
・会社名、部署名、氏名、電話番号を把握できる情報 60件
・会社名、部署名、氏名を把握できる情報 26件

感染4日後に一部業務復旧

  • 感染発覚を受け社内ネットワークからサーバーやPCを切断。感染から4日後の1月4日までに感染確認された機器等の新規構築を行い、一部業務を再開した。その後、代替システムの構築等で業務再開の目途が立ったことを2022年2月に説明している。
  • 社内にサイバーセキュリティ緊急対策本部を立ち上げし、所轄警察署への被害申告、IPA、JC3、経済産業省等にも報告。
  • 受注業務やメール等の取引先との連絡にはクリーンインストールや新規手配したPCで既存のものとは別のネットワークやモバイルネットワークを利用。
  • ウィルス対策ソフトも新しく導入し、未知のマルウェアを検知する仕組みを強化した。また2022年1月にランサムウェアに関する情報セキュリティ教育を全社員を対象に実施した。

感染したランサムウェアはNight Skyと判断

  • 東京コンピュータサービスは感染したランサムウェアについて「NightSky」だと判断。暗号化されたファイルの拡張子が「nightsky」に変更されたため。
  • 関係機関への報告を行った際に東京コンピュータサービス以外で同時期に同種の被害が発生していることが確認されていた。
  • NightSkyによる活動は2021年12月27日に始まったことが報告された。*2 また別のランサムウェアであるRookをフォークした可能性が指摘されている。*3
  • Microsoftは中国を拠点とするサイバー攻撃者グループでDEV-0401と呼称。同社によるグループの関連情報は次の通り。*4
関連するランサムウェアファミリ LockFile、AtomSilo、Rook
悪用が確認された脆弱性 VMware Horizon(CVE-2021-44228)
Confluence(CVE-2021-26084)
オンプレミスのExchange(CVE-2021-34473)
参考情報

NightSkyのサンプル解析情報(検体情報はサンプルであり東京コンピュータサービスとの関連は未確認。)

関連タイムライン

日時 出来事
2021年10月初旬 攻撃者が東京コンピュータサービスへ侵入を開始。
2021年11月上旬~12月末 攻撃者が東京コンピュータサービスの侵入行為を実行。
2021年12月27日 セキュリティ研究者がNightSkyの活動開始を確認した最初の日付。
2021年12月31日早朝 東京コンピュータサービスでランサムウェア感染発生。
2022年1月4日 東京コンピュータサービスがサイバー攻撃による被害発生を公表。(第一報)
2022年2月2日 東京コンピュータサービスが調査より判明した事実として被害や対応状況を公表。(第二報)
2022年3月18日 東京コンピュータサービスが侵入の手口や窃取された情報等を公表。(第三報)

更新履歴

  • 2022年3月24日 AM 新規作成